Instrucciones de la SIC a los administradores de sociedades en el tratamiento de datos
La SIC busca que los administradores vean la importancia de promover una adecuada cultura en sus organizaciones sobre los datos
01 de octubre de 2024Contenido
En la era digital actual, el uso y manejo de datos personales se ha convertido en un tema de creciente preocupación y debate. La regulación adecuada del uso de estos datos es crucial no solo para proteger la privacidad y los derechos individuales, sino también para garantizar la transparencia y la confianza en las instituciones y empresas que los manejan.
Sin normativas claras y efectivas, existe el riesgo de abusos que podrían comprometer la seguridad y la integridad de las personas, así como socavar la confianza pública en la innovación tecnológica. Por lo tanto, establecer marcos regulatorios robustos es fundamental para equilibrar la protección de datos con el avance continuo de la tecnología y el desarrollo económico.
En Colombia, este tema empezó a coger más fuerza desde la Ley 1581 de 2012 que busca dar un nuevo impulso para la protección integral de la privacidad y de los datos personales de las personas. Pero los esfuerzos regulatorios no se quedan ahí, la Superintendencia de Industria y Comercio, SIC, sacó la circular 003 que busca entregar instrucciones a los administradores de sociedades en ese tratamiento de datos.
Iván Darío Marrugo, Ceo de Futurlex, aseguró que todo lo que nosotros hacemos, tanto en internet como fuera de él, ya deja un rastro. “Ese rastro está siendo medido por organizaciones a las que les interesa, por ejemplo, saber cuáles son los hábitos de consumo”, explicó.
“Hoy los algoritmos se construyen alrededor de la actividad de los usuarios en línea y, por supuesto, esa mayor cantidad de datos y de información, ese alto flujo de los datos es el que ha permitido corroborar que los datos se han vuelto el petróleo de este nuevo siglo XXI”, agregó Marrugo.
Además, la SIC busca que los administradores vean la importancia de promover una adecuada cultura al interior de sus organizaciones sobre el tratamiento de datos. Jorge de los Ríos, socio de Posse Herrera Ruíz, explicó que esta circular busca poner un especial énfasis en el principio de la responsabilidad demostrada. “Básicamente, a lo que se refiere es que las organizaciones y los responsables encargados del tratamiento de datos personales tengan al interior de sus organizaciones una cultura adecuada que garantice la efectiva protección y adecuado manejo de los datos”.
La SIC, con esta circular, lo que deja claro es que esta cultura del correcto manejo de datos debe ser transversal en la organización, en ningún caso puede ser una función relegada a un área menor.
“En el ADN de las organizaciones, el tema del tratamiento y la protección de los datos personales se debe vivir y respirar. Todavía hay una gran oportunidad para que las organizaciones desarrollen una cultura más fuerte de la protección de la privacidad”, añadió de los Ríos. No obstante, el abogado enfatizó que, aunque los esfuerzos de la SIC van por el camino correcto en la concientización del tratamiento de datos, en el ámbito jurídico se presentan inquietudes. “Está estableciendo unas situaciones que no están contempladas en la ley. Y ahí la pregunta que surge es ¿la circular puede ir más allá de lo que estable la ley”.
Añadió que va más allá cuando considera a los administradores como responsables de los datos. “Al considerarlos responsables podrían ser objeto de las sanciones que estable de Ley 1581”, dijo.
Por tanto, Laura Torrado, asociada en Posse Herrera Ruiz, explicó que si una empresa no puede demostrar a la SIC que ha implementado medidas organizacionales adecuadas para promover la cultura de protección de datos y mitigar los riesgos asociados al procesamiento de información personal, como un manual interno de políticas y procedimientos para la protección de datos personales o medidas de seguridad de la información, puede estar incumpliendo los deberes establecidos en la Ley 1581 de 2012 y, por ende, los pone en riesgo de ser investigados y sancionados por la SIC.
Multas de la Ley 1581
La Ley 1581 establece que la SIC podrá imponer multas de carácter personal e institucional hasta por 2.000 smmlv al momento de la imposición de la sanción. Además, podrán suspender las actividades relacionadas con el tratamiento hasta por seis meses. Podrán cerrar temporalmente las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión si no cumplieron con las demandas de la SIC y podrán cerrar definitivamente todas las operaciones.
Antecedentes
La Superintendencia de Industria y Comercio, SIC, también emitió recomendaciones al Consejo Superior de la Judicatura para que se adopten medidas de protección de los datos personales que custodia. Esto con el fin de evitar incidentes de seguridad como el que ocurrió en el servidor del proveedor de servicios de telecomunicaciones IFX Networks el 12 de septiembre de 2023 y que tuvo una afectación en diversos servicios a más de 260 entidades públicas y privadas.