El manejo de datos personales por parte de las empresas en Colombia está sujeto a la Ley 1581 y sus decretos reglamentarios; por lo tanto, cometer errores en ese proceso de manejo de información puede resultar costoso no solo a nivel económico producto de las sanciones que impone la Superintendencia de Industria y Comercio sino en términos de reputación, ya que las resoluciones por sanción son públicas y exponen en su totalidad las infracciones cometidas. A continuación resumimos los cinco errores comunes cometidos en el 2023 y los casos que más se han presentado:
- Ausencia de Consentimiento Informado:
La obtención de consentimiento es esencial, no solo por ser requerimiento de la Ley sino porque el Titular de manera libre estará permitiendo que se usen sus datos, facilitando con ello que haya transparencia en el proceso. El error común radica en no proporcionar información clara y completa a los individuos sobre cómo se recopilarán y utilizarán sus datos; esto sucede sobre todo con las cámaras de seguridad y los sistemas de control de visitantes en edificios, también con los programas de fidelización que promueven algunos pequeños establecimientos que buscan adoptar los programas exitosos de las grandes superficies, pero sin seguir las reglas que ha establecido el legislador.
- Almacenamiento Excesivo de Datos:
Esto se refiere a la retención de la información por más tiempo del necesario, es decir; a pesar que los datos ya no se necesitan se siguen almacenando; tal vez por olvido, por desidia o por falta de procedimientos. Las empresas a menudo cometen el error de almacenar datos personales durante períodos innecesariamente largos, y tan solo cuando la Superintendencia de Industria y Comercio los audita es que se dan cuenta que tienen mucha información que debieron eliminar; por supuesto, de una manera segura. Esto usualmente se presenta con hojas de vida, con solicitudes de créditos ya pagados, con imágenes de sistemas de video-vigilancia, con sistemas de control de ingreso de visitantes, con información de prospectos de clientes que ahora son ilocalizables.
- Brechas de Seguridad y Falta de Medidas de Protección:
Las violaciones de seguridad son costosas y perjudiciales, no solo porque exponen la información estratégica de la organización y paralizan en forma temporal su operación, sino porque pueden generar multas producto de las sanciones derivadas de las infracciones a la ley. El error que usualmente se comete es no disponer de medidas adecuadas y eficientes para proteger los datos personales, no implementar cifrado, firewalls y otras medidas de seguridad que eviten que los datos personales de los Titulares queden expuestos.
- Transferencias Internacionales no conformes:
Las transferencias de datos personales por fuera de Colombia deben cumplir con ciertos estándares. Las empresas a menudo cometen el error de realizar transferencias de datos sin cumplir con las regulaciones, lo que resulta en multas y restricciones a las actividades comerciales. La Superintendencia de Industria y Comercio ha hecho pública una lista de países a los cuales se puede transferir datos personales con seguridad, dado que en su legislación se garantiza la protección de la información de los Titulares, en el caso que esto no suceda se deben elaborar contratos muy completos que detallen todas las obligaciones y deberes de las partes. En ocasiones las empresas no invierten tiempo en elaborar estos contratos o los omiten violando así las reglas establecidas por la Ley.
- Falta de Políticas de Retención y Disposición:
La falta de políticas claras para la retención y disposición de datos puede llevar a la retención innecesaria o eliminación inadecuada de información personal. Por ejemplo, se ha encontrado que algunas organizaciones desechan documentos con información personal simplemente tirándolos a la basura. Esta es una acción ilegal que de corroborarse genera altas multas por concepto de sanción.
Para evitar los errores expuestos anteriormente se deberá, por un lado, comprender a cabalidad la regulación de privacidad, y por el otro, tener un compromiso sólido con la protección de datos personales. La implementación de prácticas seguras de gestión de datos será entonces una necesidad de las empresas quienes deberán esforzarse por ajustarlas a los requerimientos de Ley y a las necesidades de los Titulares.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
