Un breve resumen de las acciones realizadas por la Superintendencia en materia de Protección de Datos Personales año 2023.
Dentro de los temas resaltamos:
👉Sanciones, principales motivos de quejas, histórico de sanciones, el Registro Nacional de Bases de Datos y algunas buenas prácticas que las organizaciones pueden aplicar en este 2025. Cliquea encima de la imagen para acceder al contenido (PDF).
La figura del Oficial de Protección de Datos Personales – OPD se viene estableciendo en la legislación de Colombia de forma progresiva.
Compartimos en este post un resumen que orienta la normativa aplicable y el link de consulta de la guía del OPD de obligatorio cumplimiento para las organizaciones #Publicas, #Privadas y #empresas en general.
2013.
Artículo 23 del decreto 1377, compilado en el decreto 1074 de 2015 art. 2.2.2.25.4.4.
“Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”.
2015.
Guía para la Implementación Principio de Responsabilidad Demostrada numeral 1.2. de la SIC, establece las funciones del Oficial de Protección de Datos, en el marco del cumplimiento del principio de responsabilidad demostrada. Consulta la guía en este link https://bit.ly/3OMgpHG
2020
Decreto 620 de 2020 art. 2.2.17.5.4. Oficial de Protección de Datos.
Recuerda la importancia de designar a una persona o área que asuma la función de protección de datos personales, quien es la persona que gestionará las solicitudes de los Titulares y establece la obligatoriedad para los Responsables y Encargados del Tratamiento, de cumplir lineamientos de la SIC, es decir sus guías.
2023
Superintendencia de Industria y Comercio expide guía del Oficial de Protección de Datos Personales. Consulta la guía en este link:
https://bit.ly/48kE6O4
2024.
Superintendencia de Industria y Comercio habilita opción en el RNBD para que las organizaciones inscriban el Oficial de Protección de Datos Personales.
De esta forma vemos las acciones que se vienen realizando en Colombia para la garantía del derecho a la Protección de Datos Personales, respecto del tratamiento que realizan las organizaciones públicas o privadas de la información que administran de titulares.
✅ La autorización debe ser previa, expresa e informada para que los Responsables (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc…) que recolectan información personal adicional a la del solicitante (otro titular), puedan realizarle tratamiento.
Cuando se esta por ejemplo frente a la adquisición de un producto financiero es natural que la entidad solicite información personal de otra persona como requisito para recibir la solicitud; la finalidad y el uso que le dé, depende mucho de las política de cada empresa, sin embargo; en muchas ocasiones el interesado no le informa 🗣️ a ese familiar o amigo que ha proporcionados sus datos personales (nombre, teléfono,) a esa entidad.
📌Es importante señalar dos puntos, primero; el ámbito doméstico cuando proporcionamos datos personales a amigos, conocidos y familiares lo cual sale del radar de la normatividad de protección de datos personales (L.1581/2012 art.2 Literal a.) por ser escenarios exclusivamente personales y domésticos; pero, no sucede lo mismo cuando se entrega datos de contacto a organizaciones que desarrollan actividades de comercio, debido a que ellos tienen claro el activo que esto representa (potencial cliente, prospecto etc..) y eso esta bien, de eso se trata.
📌El segundo punto tienen que ver con el riesgo que genera para el comercio en general (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc…) especialmente las entidades financieras, cuando en sus archivos físicos o digitales conservan información personal de titulares (nombres, números de contacto personal, correos electrónicos etc..), sin el consentimiento previo, expreso e informado del titular (L.1581/12 art. 3 literal a y art. 9) como requisito sine quanon (necesario) para poder conservar la información personal que administran.
Conozco dos casos del sector 💰💰 financiero 💷💶 en donde utilizaron la información de referencia, es decir; los datos personales (nombre y numero de contacto) del amigo o familiar para adelantar 📲gestiones de cobro📩 lo cual llama la atención, ya que para muchas empresas y personas 😃 esto es una práctica normal.
🤷♂️ En el primer caso la Superintendencia de Industria y Comercio resuelve en recurso de apelación, que una entidad financiera infringió la normatividad de Protección de Datos Personales al utilizar los datos de la «Referencia» para contactar vía telefónica y realizar gestiones de cobro a una madre del producto que adquirió su hijo en el banco, sin el consentimiento de ella. La multa que en recurso de apelación confirmó la Superintendencia fue la máxima legal permitida es decir 2.000 SMLMV que son $351.120.627. (Res. 47280/2021) ¡impresionante! ¿no les parece?, sobre todo porque en general a cualquier entidad financiera le puede pasar y bueno en verdad, nadie quiere una multa independientemente de su valor económico.
🤷♀️ El segundo #CasoReal es bien interesante, se los cuento.
🔴Una #Fintech allega el siguiente mensaje a una persona que fue incluida como «referencia», un sábado en la tarde mientras departía con sus familiares y amigos en la finca:
📲»Buenas tardes, nos comunicamos de XXXXXXXX el motivo de esta comunicación es porque nos registra como referencia de (nombre del que solicito el crédito).
No hemos podido comunicarnos con él directamente y por eso le pedimos su colaboración para que le informe que su crédito con XXXXXXXX vence hoy y debe registrar el pago antes de las 5:00 pm para evitar que sea notificada ante las centrales de riesgo. Agradecemos su colaboración.»
En este caso llama la atención que la persona no tenia ni idea de eso, y es obligación de la empresa adecuar los procesos para que esto no pase y bueno para hacerles corto el cuento con esa noticia en plena reunión familiar la pobre pasó un mal fin de semana y está esperando que la entidad le explique como pasó…
En estos dos casos me transporto al momento exacto en que las personas se acercan de forma física al banco o cuando ingresan a una APP con la intención de adquirir un producto financiero, en el caso de las fintech es rápido y genera retos operativos y tecnológicos importantes para este sector; para que en todo el proceso de recolección de datos personales el Responsable adquiera la autorización de sus titulares incluyendo el de las referencias personales.
Pero ¿Cómo se podría mejorar?
🟢 Una posible solución es que cuando el interesado en adquirir un producto financiero en cualquier banco, se acerque a la oficina física con la referencia (amigo o familiar) con el fin de que autorice el tratamiento de sus datos, esto sin lugar a dudas da transparencia, concientiza y fortalece la relación entre el banco y el consumidor financiero.
La otra solución se presenta con el tema tecnológico y esta me encanta, a qui les va:
🟢 En el momento en que el solicitante llega a la opción de diligenciar la referencia personal o comercial; el sistema bloquee los pasos que siguen hasta que mediante un link que le envía a su referencia, éste autorice dos cosas:
¡¡Atentos a lo que sigue!!
Una vez el amigo, familiar el o (la) amante acepta ser referencia de su amigo y autoriza que el banco lo contacte, tecnológicamente se le habilita al interesado las otras opciones del formulario para enviar la solicitud.
Espero hacerme entender, porque una cosa es decirlo y otra aplicarlo, fascinante cierto…???
👊 ¡¡Bien amigos!! si han llegado hasta aquí les agradezco 🤝 un montón, rápidamente he expuesto casos reales y concretos en donde se ve involucrada la información personal que se incluyen como referencias personales o familiares en las entidades financieras.
Después de todo ¿creen ustedes que es necesaria la autorización?
¿Necesita el #Consentimiento del referid@ el banco, para poder enviar mensajes de cobro?
¿Se infringe la Normatividad de Protección de Datos?
¿Cómo actuarían si les sucede?
¿Qué opinan de las posibles soluciones plateadas?
¿Qué estrategia utiliza su empresa en los casos plateados?
Escribe lo primero que se te venga a la mente de cualquier pregunta… en verdad lo que sea…..
La primera sanción a una propiedad horizontal se registró en 2014, y los administradores y gerentes de las organizaciones publicas y privadas no deben tener duda de su obligatoriedad y cumplimiento. Ahora bien, en lo concerniente a la La Propiedad Horizontal me permito señalar un aparte de la Resolución 15494 de 2021 en donde la Superintendencia impone una multa por valor de $10.892.400 a una copropiedad y señala en un aparte de la resolución:
“De igual maneral, es importante recordar que los edificios y conjuntos sometidos al régimen de propiedad horizontal son Responsables del tratamiento de datos personales, al recolectar y usar la información personal de los residentes, arrendatarios, visitantes, contratistas, proveedores, empleados, y cualquier Titular cuyos datos sean objeto de Tratamiento..”
Así las cosas, las propiedades horizontales deben cumplir con el habeas data para proteger la información que administra, a la fecha la Superintendencia de Industria y Comercio como entidad que vigila y protege el derecho constitucional y legal de habeas data, ha sancionado a más de 15 PH y la suma supera los $300´ millones de pesos al sector. Una causa común la encontramos en que las copropiedades no solicitan la autorización de propietarios, residentes, visitantes y proveedores al momento de recolectar y realizarle tratamiento a la información personal en los distintos escenarios que requieren el consentimiento del titular; razón por la cual, es necesario que los administradores, consejeros y propietarios en general revisen el cumplimiento de la normatividad de Protección de Datos en su conjunto o condominio en aspectos tan importantes como:
Así mismo, es importante cumplir con el Principio de Responsabilidad Demostrada que obliga a los administradores y consejeros documentar los procesos que se surten al interior de la PH con la adopción de medidas apropiadas y efectivas que garanticen su cumplimiento; esto implica un reto importante para este tipo de organización que debe demostrar documentalmente ante la autoridad en caso de requerimiento la aplicación real y material del habeas data (Artículo 26 decreto 1377 de 2013).
Por último, recordar a los órganos de dirección de las propiedades horizontales como el consejo, la junta y el administrador (a), que, en caso de no cumplir con la normatividad pueden estar incursos en sanciones y multas por parte de la Superintendencia de Industria y Comercio por el incumplimiento de las obligaciones establecidas en la Ley 675 de 2001 especialmente la indicada en el artículo 50 párrafo segundo que señala:
“..Los administradores responderán por los perjuicios que por dolo, culpa leve o grave, ocasionen a la persona jurídica, a los propietarios o a terceros. Se presumirá la culpa leve del administrador en los casos de incumplimiento o extralimitación de sus funciones, violación de la ley o del reglamento de propiedad horizontal.”
De esta forma se configura la responsabilidad de los administradores, sin embargo; lo relevante en el cumplimiento de la normativa de Protección de Datos por parte de la copropiedad es salvaguardar y proteger los derechos, garantías y libertades de los titulares de la información, que son los propietarios, residentes, visitantes, proveedores entre otros y de paso proteger el patrimonio que le han confiado los propietarios; entender que una eventual sanción afecta directamente las finanzas de la organización y pone en riesgo su normal funcionamiento teniendo en cuenta que es una entidad sin animo de lucro y todo lo que ingresa por concepto de cuotas de administración se reinvierte mensualmente para su sostenimiento, coexistencia y una sanción generaría un desequilibrio financiero que en últimas tendrían que pagar los propietarios mediante la fijación de una cuota extraordinaria, y su valor dependerá del monto que fije la autoridad que puede ser hasta 2.000 SMLMV.
Si eres administrador y necesitas asesoría agenda tu cita AQUI.
Los datos personales como fuente necesaria para la existencia, operación y continuidad de cualquier negocio requieren de un adecuado tratamiento por parte de las organizaciones; con el fin de que en el proceso de recolección, almacenamiento, uso, circulación y supresión no se vulneren los derechos y garantía constitucionales de los titulares, o para ser más claros de las personas que en atención al ofrecimiento de un producto o servicio entregan su información personal a empresas; o, en el caso de las entidades públicas para que ejerzan sus funciones en virtud de encargo realizado por la ley.
En cualquiera de los casos, desde el momento de la recolección hasta la eliminación de la información personal, se requiere por parte de las organizaciones la implementación de medidas apropiadas y efectivas que den cumplimiento a la ley 1581 de 2012 y sus decretos reglamentarios en aspectos tan fundamentales como por ejemplo el de la seguridad de la información personal.
Y esto es importante señalarlo, ya que la Superintendencia de Industria y Comercio como entidad que ejerce el control, la inspección, vigilancia y como responsable de procesar y administrar el Registro Nacional de Bases de Datos RNBD, señaló en su segundo informe anual que de las empresas y entidades que registraron sus bases de datos en el RNBD desde el 2015 hasta el 30 de septiembre de 2020, en total son 33.596 que se estudiaron, de esas el 72.7% no han implementado una política de protección para el acceso remoto a la información personal, lo cual facilita eventualmente el acceso de terceros no autorizados a información personal, lo que daría pie a incidentes de seguridad; es decir, a intrusiones no autorizada a información que se encuentra en posesión de la organización. El estudio también indica que el 61.3% de organizaciones no tienen implementado una política que regule el acceso a la información sensible, datos personales que por su naturaleza y contenido deben tener medidas de seguridad adecuadas, útiles y efectivas; con el fin de proteger la información que en ellas reposa, como por ejemplo información relacionada con el estado de salud las personas, su vida sexual, la orientación política, bases de datos que contengan información biométrica etc.. (art. 5 Ley 1581).
El estudio refleja el panorama actual de las organizaciones frente a las medidas de seguridad que implementan las organizaciones al momento de realizar tratamiento de datos personales y es una radiografía nacional que le permite a la Superindustria medir y monitorear el cumplimiento de las obligaciones por parte de los Responsables y Encargados que tienen bajo su tenencia información personal de los colombianos. La superintendencia como entidad que protege el derecho constitucional de habeas, mediante el RNBD fundamenta su estudio con un enfoque basado en los riesgos que representa para los titulares, el hecho de que una empresa o entidad no implemente lo necesario para proteger el activo por excelencia de una organización los datos personales; esto genera un reto mayúsculo que deben atender los Responsables y Encargados en la operación y gestión de la información personal en la organización.
En aras de aterrizar este lenguaje que aunque hace unos años parecería abstracto o lejos, ya es una realidad que merece toda atención por parte no solo de los titulares que son las fuente de la cual se nutren los bancos de datos de entidades públicas y privadas sino, también de las organizaciones que poseen la información; entender que son solo tenedores de algo muy preciado como es la información personal de sus clientes, empleados y proveedores les debe generar mayor compromiso e inversión monetaria real al momento de evaluar e implementar las estrategias corporativas para proteger este nuevo bien jurídico denominado “Datos Personales” señalado en el artículo 269F de la ley 1273 de 2009.
Para no remar o indagar en solo conceptos quién de ustedes en estos últimos meses no ingresó o accedió a los diferentes servidores y plataformas del trabajo para cumplir con sus obligaciones, es bueno preguntarnos ¿cómo lo hicieron? mediante computadores asignados por la organización? utilizaron VPN (Red Privada Virtual)? ¿Cuentan los Pcs remotos con el antivirus corporativo? ¿han recibido capacitación sobre protección de datos personales y su adecuado tratamiento? ¿cuáles son las herramientas tecnológicas que utiliza la organización para el trabajo remoto? ¿son las adecuadas para la categoría de datos que poseen? ¿tiene la organización una política de seguridad de la información y de gestión de incidentes?, ¿realiza monitoreo preventivo a la información personal con el fin de detectar brechas o huecos de seguridad?, solo por señalar algunas preguntas. Espero este blog sea de gran utilidad para las organizaciones y personas que en atención a sus funciones diariamente realizan tratamiento a la información personal de titulares. ¿Ustedes cómo protegen la información personal que administran?.
Click Aquí para acceder al estudio de la Superintendencia.
.
«Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior» (negrilla fuera de texto original).