La gestión adecuada de datos personales es esencial para cualquier organización, y la transferencia de esa información a terceros requiere de mucho cuidado y de extrema atención a las minuciosidades legales. Cuando un responsable de tratamiento de datos confía en un tercero para el procesamiento de información personal a su cargo, ese tercero, por Ley, se convierte en un encargado de tratamiento que tiene una serie de responsabilidades. Cuando tal tercero incumple sus obligaciones le crea problemas al responsable quien se ve envuelto en un sinnúmero de problemas legales.
En el ámbito internacional, diversas legislaciones y regulaciones, tales como la Ley PDP en Colombia o el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, establecen claramente las obligaciones y compromisos tanto de los responsables como de los encargados de tratamiento. Si un encargado de tratamiento no cumple con las normas establecidas, el responsable de tratamiento efectivamente enfrentará consecuencias legales y sanciones.
Es fundamental entonces que el responsable de tratamiento tome ciertas medidas para blindarse de esas consecuencias. En primera instancia será necesario realizar una cuidadosa selección de los encargados de tratamiento antes que se llegue a transferir datos personales. Se debe realizar con debida diligencia la evaluación de la idoneidad y capacidad del tercero, se deben revisar sus prácticas de seguridad, su política de privacidad, su experiencia previa y las referencias que aporta como encargado de tratamiento.
A pesar de todas esas precauciones, es imposible garantizar al cien por ciento la seguridad de los datos entregados, por lo tanto existen otras medidas que el responsable de tratamiento debe tomar para mitigar los riesgos y protegerse legalmente. Entre esas medidas encontramos la elaboración de contratos y acuerdos sólidos, la realización de auditorías periódicas y la creación de protocolos y procedimientos claros que el encargado debe seguir en caso que se presenten incidentes de seguridad, procurando que sin falta y sin demora se notifique al responsable cuando ocurren.
Veamos entonces qué aporta cada uno:
Los contratos y acuerdos son indispensables porque son el único mecanismo para detallar las obligaciones de las partes, para indicar que se puede y que no se puede hacer con los datos, para establecer cómo se manejará la seguridad y la confidencialidad de la información, cuáles serán los protocolos de transferencia de datos entre las partes y cuáles serán los mecanismos para informar y abordar violaciones de seguridad.
Las auditorías periódicas son elementos fundamentales para conocer o evaluar el cumplimiento de las normas de protección de datos y los acuerdos establecidos con el encargado de tratamiento. Aquí se puede contemplar la verificación de la seguridad física e informática, las prácticas de manejo de datos y la capacitación del personal.
Los protocolos y procedimientos frente a violaciones de la seguridad y privacidad de los datos siempre serán importantes; ya que con ellos ambas partes podrán conocer a cabalidad cómo abordar casos de filtración, robo, o pérdida de la información. Además, se sabrá qué acciones correctivas y en qué secuencia se deberán ejecutar, cómo se protegerán los intereses de los Titulares, y cómo podrán las organizaciones estén enteradas tanto del incidente, como de las labores que se están realizando para contener sus consecuencias. En este contexto, la pronta notificación permite al responsable tomar medidas correctivas, cumplir con sus propias obligaciones legales de informar a las autoridades y a los afectados, y planear acciones de mejora que se tomarán en el futuro para prevenir la ocurrencia de sucesos con similares características.
Hasta aquí se han expuesto las formas en que una organización puede blindarse por las acciones del encargado de tratamiento; sin embargo, a pesar de todos estos esfuerzos siempre existirá un riesgo residual, porque dicho encargado no es una pieza suelta dentro de la gestión de tratamiento de datos personales; esto indica que no se puede, de ninguna manera, incumplir con las obligaciones frente al resguardo y la seguridad de la información, entonces, si se produce una violación de datos personales es porque algo no fue considerado o no se tuvo en cuenta en la gestión de control del tratamiento.
Así las cosas, las implicaciones para el responsable siempre existirán, con la posibilidad de recibir sanciones administrativas y multas, sumado a un daño a su reputación y a la confianza del público; pues, sus clientes, al verse gravemente afectados por una revelación de sus datos personales, generarán una ola de malos comentarios hacia la empresa; esto sin considerar que se podrían iniciar acciones Legales contra el responsable a quien se le entregaron datos, y quien no garantizó la seguridad adecuada de los mismos.
En conclusión, podemos decir que no existe una garantía absoluta contra las consecuencias legales que trae el mal uso de los datos por parte del responsable; sin embargo, siempre será deber dicho responsable demostrar que ha tomado las medidas razonables y proporcionadas para proteger los datos de los Titulares, esto mitigará los daños, las sanciones y reducirá el riesgo legal.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
