Impacto en las organizaciones

Las organizaciones han experimentado una transformación significativa en la manera en que gestionan y protegen la información personal. La implementación de políticas rigurosas y la adopción de tecnologías avanzadas para salvaguardar la información personal de empleados, clientes, proveedores y socios; son hoy en día prácticas más comunes que años atrás.

Además, la conciencia sobre la importancia de la protección de datos ha llevado a un fortalecimiento de las normativas y regulaciones, como el reglamento general de protección de datos (GDPR) en Europa, que es un precedente internacional.

Un impacto trascendental lo evidenciamos con la designación obligatoria que trajo el reglamento del delegado de protección de datos – DPD una figura obligatoria y reglamentada en el artículo 37 RGPD UE 679 de 2016 y que en el caso de Colombia de conformidad con el Decreto 620 de 2020 articulo 2.2.17.5.4 se denomina Oficial de Protección de Datos – OPD y es obligatorio para las entidades públicas que incorporen lineamientos generales en el uso y operación de los servicios ciudadanos digitales.

Beneficios y retos

El avance en la protección de datos ha traído consigo numerosos beneficios. Las organizaciones que priorizan la privacidad y la seguridad de los datos no solo se ganan la confianza de sus clientes, sino que también minimizan riesgos legales y financieros. Sin embargo, la rápida evolución tecnológica plantea nuevos retos. La inteligencia artificial, el internet de las cosas, el big data, el big tech entre otros, requieren de un enfoque continuo y dinámico para la protección de datos, adaptándose rápidamente a las nuevas formas de recopilación, procesamiento y tratamiento que permitan identificar oportunamente vulnerabilidades y amenazas con fin de garantizar proactivamente derechos y libertades de las personas y la continuidad del negocio.

Un reto importante es la obligatoriedad de que las organizaciones privadas incorporen la figura del Oficial de Protección de Datos, una garantía de accountability  y de gestión de cumplimiento diferencial competitivo.

Un océano azul por descubrir

A pesar de los avances, aún queda mucho por explorar. La educación y sensibilización de la ciudadanía sobre sus derechos en cuanto a la protección de sus datos personales es crucial para materialización y exigibilidad, en caso de vulneración.

Es por ello que es fundamental, básico y necesarios que las personas comprendan cómo se utilizan sus datos, que conozcan quien los recolecta, para que (finalidades), dónde pueden presentar una solicitud, los canales de comunicación (ejercicio de derechos) etc.. con el fin de que tengan el control sobre ellos.

El Día Internacional de la Protección de Datos Personales no solo es una conmemoración, sino una llamada a la acción. Es un recordatorio de que en el mundo digital en el que vivimos, la privacidad y la protección de datos son derechos fundamentales que debemos proteger y promover para beneficio de las personas, las organizaciones y la comunidad en general.

Países de América Latina que cuentan con normativa de Protección de Datos.

En América Latina, varios países han implementado normativas específicas para la Protección de Datos Personales. Algunos de los más destacados son:

1.          Argentina: Ley de Protección de Datos Personales Ley 25326 de 2000.
2.          Brasil: Ley General de Protección de Datos LGPD, Ley N° 13709 de 2018.
3.          Chile: Ley sobre Protección de la Vida Privada Ley 19628 de 1999.
4.          Colombia: Ley de Protección de Datos Personales Ley 1581 de 2012
5.          México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares LFPDPPP
6.          Perú: Ley de Protección de Datos Personales Ley 29733 de 2011.
7.          Uruguay: Ley de Protección de Datos Personales. Ley 18331 de 2008
8.          Ecuador: Ley Orgánica de Protección de Datos – LOPD 2021.

Estos países han establecido marcos regulatorios que buscan proteger la privacidad y los datos personales de los ciudadanos, siguiendo en muchos casos las directrices del Reglamento General de Protección de Datos (UE) 679/2016 del Parlamento y la Comisión, como referente internacional en esta materia.

En conclusión, podemos decir que el impacto es muy positivo en las organizaciones que han adoptado y reglado este derecho en sus procedimientos, pero sigue siendo un reto la concienciación del mismo y su aplicación en las organizaciones, con enfoque en el ser humano, no; cumplir por cumplir, si no por las consecuencias negativas al exponerse a riesgos legales y financieros que se desprenden del incumplimiento de la norma y lo más importante las posibles vulneración a los derechos de los titulares.

La figura del Oficial de Protección de Datos Personales – OPD se viene estableciendo en la legislación de Colombia de forma progresiva.

Compartimos en este post un resumen que orienta la normativa aplicable y el link de consulta de la guía del OPD de obligatorio cumplimiento para las organizaciones #Publicas, #Privadas y #empresas en general.

2013.
Artículo 23 del decreto 1377, compilado en el decreto 1074 de 2015 art. 2.2.2.25.4.4.      
“Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”.

2015.
Guía para la Implementación Principio de Responsabilidad Demostrada numeral 1.2. de la SIC, establece las funciones del Oficial de Protección de Datos, en el marco del cumplimiento del principio de responsabilidad demostrada. Consulta la guía en este link  https://bit.ly/3OMgpHG
 
2020
Decreto 620 de 2020 art. 2.2.17.5.4. Oficial de Protección de Datos.
Recuerda la importancia de designar a una persona o área que asuma la función de protección de datos personales, quien es la persona que gestionará las solicitudes de los Titulares y establece la obligatoriedad para los Responsables y Encargados del Tratamiento, de cumplir lineamientos de la SIC, es decir sus guías.

2023
Superintendencia de Industria y Comercio expide guía del Oficial de Protección de Datos Personales. Consulta la guía en este link:
https://bit.ly/48kE6O4
 
2024.
Superintendencia de Industria y Comercio habilita opción en el RNBD para que las organizaciones inscriban el Oficial de Protección de Datos Personales.
 
De esta forma vemos las acciones que se vienen realizando en Colombia para la garantía del derecho a la Protección de Datos Personales, respecto del tratamiento que realizan las organizaciones públicas o privadas de la información que administran de titulares.

✅ La autorización debe ser previa, expresa e informada para que los Responsables (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc…) que recolectan información personal adicional a la del solicitante (otro titular), puedan realizarle tratamiento.

Cuando se esta por ejemplo frente a la adquisición de un producto financiero es natural que la entidad solicite información personal de otra persona como requisito para recibir la solicitud; la finalidad y el uso que le dé, depende mucho de las política de cada empresa, sin embargo; en muchas ocasiones el interesado no le informa 🗣️ a ese familiar o amigo que ha proporcionados sus datos personales (nombre, teléfono,) a esa entidad.

📌Es importante señalar dos puntos, primero; el ámbito doméstico cuando proporcionamos datos personales a amigos, conocidos y familiares lo cual sale del radar de la normatividad de protección de datos personales (L.1581/2012 art.2 Literal a.) por ser escenarios exclusivamente personales y domésticos; pero, no sucede lo mismo cuando se entrega datos de contacto a organizaciones que desarrollan actividades de comercio, debido a que ellos tienen claro el activo que esto representa (potencial cliente, prospecto etc..) y eso esta bien, de eso se trata.

📌El segundo punto tienen que ver con el riesgo que genera para el comercio en general (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc…) especialmente las entidades financieras, cuando en sus archivos físicos o digitales conservan información personal de titulares (nombres, números de contacto personal, correos electrónicos etc..), sin el consentimiento previo, expreso e informado del titular (L.1581/12 art. 3 literal a y art. 9) como requisito sine quanon (necesario) para poder conservar la información personal que administran.

Conozco dos casos del sector 💰💰 financiero 💷💶 en donde utilizaron la información de referencia, es decir; los datos personales (nombre y numero de contacto) del amigo o familiar para adelantar 📲gestiones de cobro📩 lo cual llama la atención, ya que para muchas empresas y personas 😃 esto es una práctica normal.

🤷‍♂️ En el primer caso la Superintendencia de Industria y Comercio resuelve en recurso de apelación, que una entidad financiera infringió la normatividad de Protección de Datos Personales al utilizar los datos de la «Referencia» para contactar vía telefónica y realizar gestiones de cobro a una madre del producto que adquirió su hijo en el banco, sin el consentimiento de ella. La multa que en recurso de apelación confirmó la Superintendencia fue la máxima legal permitida es decir 2.000 SMLMV que son $351.120.627. (Res. 47280/2021) ¡impresionante! ¿no les parece?, sobre todo porque en general a cualquier entidad financiera le puede pasar y bueno en verdad, nadie quiere una multa independientemente de su valor económico.

🤷‍♀️ El segundo #CasoReal es bien interesante, se los cuento.

🔴Una #Fintech allega el siguiente mensaje a una persona que fue incluida como «referencia», un sábado en la tarde mientras departía con sus familiares y amigos en la finca:

📲»Buenas tardes, nos comunicamos de XXXXXXXX el motivo de esta comunicación es porque nos registra como referencia de (nombre del que solicito el crédito).

No hemos podido comunicarnos con él directamente y por eso le pedimos su colaboración para que le informe que su crédito con XXXXXXXX vence hoy y debe registrar el pago antes de las 5:00 pm para evitar que sea notificada ante las centrales de riesgo. Agradecemos su colaboración.»

En este caso llama la atención que la persona no tenia ni idea de eso, y es obligación de la empresa adecuar los procesos para que esto no pase y bueno para hacerles corto el cuento con esa noticia en plena reunión familiar la pobre pasó un mal fin de semana y está esperando que la entidad le explique como pasó…

En estos dos casos me transporto al momento exacto en que las personas se acercan de forma física al banco o cuando ingresan a una APP con la intención de adquirir un producto financiero, en el caso de las fintech es rápido y genera retos operativos y tecnológicos importantes para este sector; para que en todo el proceso de recolección de datos personales el Responsable adquiera la autorización de sus titulares incluyendo el de las referencias personales.

Pero ¿Cómo se podría mejorar?

🟢 Una posible solución es que cuando el interesado en adquirir un producto financiero en cualquier banco, se acerque a la oficina física con la referencia (amigo o familiar) con el fin de que autorice el tratamiento de sus datos, esto sin lugar a dudas da transparencia, concientiza y fortalece la relación entre el banco y el consumidor financiero.

La otra solución se presenta con el tema tecnológico y esta me encanta, a qui les va:

🟢 En el momento en que el solicitante llega a la opción de diligenciar la referencia personal o comercial; el sistema bloquee los pasos que siguen hasta que mediante un link que le envía a su referencia, éste autorice dos cosas:

1. Que acepta ser referencia de su amigo o familiar 🆗
2. Autoriza el tratamiento de los datos con las finalidades, de por ejemplo: ser contactado por el banco para realizar gestión de cobro. 🆗

¡¡Atentos a lo que sigue!!

Una vez el amigo, familiar el o (la) amante acepta ser referencia de su amigo y autoriza que el banco lo contacte, tecnológicamente se le habilita al interesado las otras opciones del formulario para enviar la solicitud.

Espero hacerme entender, porque una cosa es decirlo y otra aplicarlo, fascinante cierto…???

👊 ¡¡Bien amigos!! si han llegado hasta aquí les agradezco 🤝 un montón, rápidamente he expuesto casos reales y concretos en donde se ve involucrada la información personal que se incluyen como referencias personales o familiares en las entidades financieras.

Después de todo ¿creen ustedes que es necesaria la autorización?

¿Necesita el #Consentimiento del referid@ el banco, para poder enviar mensajes de cobro?

¿Se infringe la Normatividad de Protección de Datos?

¿Cómo actuarían si les sucede?

¿Qué opinan de las posibles soluciones plateadas?

¿Qué estrategia utiliza su empresa en los casos plateados?

Escribe lo primero que se te venga a la mente de cualquier pregunta… en verdad lo que sea…..

Conecta Conmigo, Acepto a Todos.

Los datos personales como fuente necesaria para la existencia, operación y continuidad de cualquier negocio requieren de un adecuado tratamiento por parte de las organizaciones; con el fin de que en el proceso de recolección, almacenamiento, uso, circulación y supresión no se vulneren los derechos y garantía constitucionales de los titulares, o para ser más claros de las personas que en atención al ofrecimiento de un producto o servicio entregan su información personal a empresas; o, en el caso de las entidades públicas para que ejerzan sus funciones en virtud de encargo realizado por la ley. 

En cualquiera de los casos, desde el momento de la recolección hasta la eliminación de la información personal, se requiere por parte de las organizaciones la implementación de medidas apropiadas y efectivas que den cumplimiento a la ley 1581 de 2012 y sus decretos reglamentarios en aspectos tan fundamentales como por ejemplo el de la seguridad de la información personal.

Y esto es importante señalarlo, ya que la Superintendencia de Industria y Comercio como entidad que ejerce el control, la inspección, vigilancia y como responsable de procesar y administrar el Registro Nacional de Bases de Datos RNBD, señaló en su segundo informe anual que de las empresas y entidades que registraron sus bases de datos en el RNBD desde el 2015 hasta el 30 de septiembre de 2020, en total son 33.596 que se estudiaron, de esas el 72.7% no han implementado una política de protección para el acceso remoto a la información personal, lo cual facilita eventualmente el acceso de terceros no autorizados a información personal, lo que daría pie a incidentes de seguridad; es decir, a intrusiones  no autorizada a información que se encuentra en posesión de la organización. El estudio también indica que el 61.3% de organizaciones no tienen implementado una política que regule el acceso a la información sensible, datos personales que por su naturaleza y contenido deben tener medidas de seguridad adecuadas, útiles y efectivas; con el fin de proteger la información que en ellas reposa, como por ejemplo información relacionada con el estado de salud las personas, su vida sexual, la orientación política, bases de datos que contengan información biométrica etc.. (art. 5 Ley 1581).

El estudio refleja el panorama actual de las organizaciones frente a las medidas de seguridad que implementan las organizaciones al momento de realizar tratamiento de datos personales y es una radiografía nacional que le permite a la Superindustria medir y monitorear el cumplimiento de las obligaciones por parte de los Responsables y Encargados que tienen bajo su tenencia información personal de los colombianos. La superintendencia como entidad que protege el derecho constitucional de habeas, mediante el RNBD fundamenta su estudio con un enfoque basado en los riesgos que representa para los titulares, el hecho de que una empresa o entidad no implemente lo necesario para proteger el activo por excelencia de una organización los datos personales; esto genera un reto mayúsculo que deben atender los Responsables y Encargados en la operación y gestión de la información personal en la organización.

En aras de aterrizar este lenguaje que aunque hace unos años parecería abstracto o lejos, ya es una realidad que merece toda atención por parte no solo de los titulares que son las fuente de la cual se nutren los bancos de datos de entidades públicas y privadas sino, también de las organizaciones que poseen la información; entender que son solo tenedores de algo muy preciado como es la información personal de sus clientes, empleados y proveedores les debe generar mayor compromiso e inversión monetaria real al momento de evaluar e implementar las estrategias corporativas para proteger este nuevo bien jurídico denominado “Datos Personales” señalado en el artículo 269F de la ley 1273 de 2009.

Para no remar o indagar en solo conceptos quién de ustedes en estos últimos meses no ingresó o accedió a los diferentes servidores y plataformas del trabajo para cumplir con sus obligaciones, es bueno preguntarnos ¿cómo lo hicieron? mediante computadores asignados por la organización? utilizaron VPN (Red Privada Virtual)? ¿Cuentan los Pcs remotos con el antivirus corporativo? ¿han recibido capacitación sobre protección de datos personales y su adecuado tratamiento? ¿cuáles son las herramientas tecnológicas que utiliza la organización para el trabajo remoto? ¿son las adecuadas para la categoría de datos que poseen? ¿tiene la organización una política de seguridad de la información y de gestión de incidentes?, ¿realiza monitoreo preventivo a la información personal con el fin de detectar brechas o huecos de seguridad?, solo por señalar algunas preguntas. Espero este blog sea de gran utilidad para las organizaciones y personas que en atención a sus funciones diariamente realizan tratamiento a la información personal de titulares. ¿Ustedes cómo protegen la información personal que administran?.

Click Aquí para acceder al estudio de la Superintendencia.   

.