Los datos personales como fuente necesaria para la existencia, operación y continuidad de cualquier negocio requieren de un adecuado tratamiento por parte de las organizaciones; con el fin de que en el proceso de recolección, almacenamiento, uso, circulación y supresión no se vulneren los derechos y garantía constitucionales de los titulares, o para ser más claros de las personas que en atención al ofrecimiento de un producto o servicio entregan su información personal a empresas; o, en el caso de las entidades públicas para que ejerzan sus funciones en virtud de encargo realizado por la ley.
En cualquiera de los casos, desde el momento de la recolección hasta la eliminación de la información personal, se requiere por parte de las organizaciones la implementación de medidas apropiadas y efectivas que den cumplimiento a la ley 1581 de 2012 y sus decretos reglamentarios en aspectos tan fundamentales como por ejemplo el de la seguridad de la información personal.
Y esto es importante señalarlo, ya que la Superintendencia de Industria y Comercio como entidad que ejerce el control, la inspección, vigilancia y como responsable de procesar y administrar el Registro Nacional de Bases de Datos RNBD, señaló en su segundo informe anual que de las empresas y entidades que registraron sus bases de datos en el RNBD desde el 2015 hasta el 30 de septiembre de 2020, en total son 33.596 que se estudiaron, de esas el 72.7% no han implementado una política de protección para el acceso remoto a la información personal, lo cual facilita eventualmente el acceso de terceros no autorizados a información personal, lo que daría pie a incidentes de seguridad; es decir, a intrusiones no autorizada a información que se encuentra en posesión de la organización. El estudio también indica que el 61.3% de organizaciones no tienen implementado una política que regule el acceso a la información sensible, datos personales que por su naturaleza y contenido deben tener medidas de seguridad adecuadas, útiles y efectivas; con el fin de proteger la información que en ellas reposa, como por ejemplo información relacionada con el estado de salud las personas, su vida sexual, la orientación política, bases de datos que contengan información biométrica etc.. (art. 5 Ley 1581).
El estudio refleja el panorama actual de las organizaciones frente a las medidas de seguridad que implementan las organizaciones al momento de realizar tratamiento de datos personales y es una radiografía nacional que le permite a la Superindustria medir y monitorear el cumplimiento de las obligaciones por parte de los Responsables y Encargados que tienen bajo su tenencia información personal de los colombianos. La superintendencia como entidad que protege el derecho constitucional de habeas, mediante el RNBD fundamenta su estudio con un enfoque basado en los riesgos que representa para los titulares, el hecho de que una empresa o entidad no implemente lo necesario para proteger el activo por excelencia de una organización los datos personales; esto genera un reto mayúsculo que deben atender los Responsables y Encargados en la operación y gestión de la información personal en la organización.
En aras de aterrizar este lenguaje que aunque hace unos años parecería abstracto o lejos, ya es una realidad que merece toda atención por parte no solo de los titulares que son las fuente de la cual se nutren los bancos de datos de entidades públicas y privadas sino, también de las organizaciones que poseen la información; entender que son solo tenedores de algo muy preciado como es la información personal de sus clientes, empleados y proveedores les debe generar mayor compromiso e inversión monetaria real al momento de evaluar e implementar las estrategias corporativas para proteger este nuevo bien jurídico denominado “Datos Personales” señalado en el artículo 269F de la ley 1273 de 2009.
Para no remar o indagar en solo conceptos quién de ustedes en estos últimos meses no ingresó o accedió a los diferentes servidores y plataformas del trabajo para cumplir con sus obligaciones, es bueno preguntarnos ¿cómo lo hicieron? mediante computadores asignados por la organización? utilizaron VPN (Red Privada Virtual)? ¿Cuentan los Pcs remotos con el antivirus corporativo? ¿han recibido capacitación sobre protección de datos personales y su adecuado tratamiento? ¿cuáles son las herramientas tecnológicas que utiliza la organización para el trabajo remoto? ¿son las adecuadas para la categoría de datos que poseen? ¿tiene la organización una política de seguridad de la información y de gestión de incidentes?, ¿realiza monitoreo preventivo a la información personal con el fin de detectar brechas o huecos de seguridad?, solo por señalar algunas preguntas. Espero este blog sea de gran utilidad para las organizaciones y personas que en atención a sus funciones diariamente realizan tratamiento a la información personal de titulares. ¿Ustedes cómo protegen la información personal que administran?.
Click Aquí para acceder al estudio de la Superintendencia.
.