La protección de datos como una medida de garantías para sus clientes y organización
En general muchas organizaciones piensan que disponer tan solo de una base de datos con el nombre, cédula, correo electrónico institucional y un número telefónico de personas que son clientes, proveedores o contratistas no representa ningún riesgo y aseguran que, como esos son datos que habitualmente se comparten, entonces su cuidado no requiere de atención especial; sin embargo, eso está muy alejado de la realidad, por lo tanto, si usted es una persona que piensa así, posiblemente cambie de opinión al leer este artículo.
Nos centraremos inicialmente en la resolución 22923 del 2021 emitida por la Superintendencia de Industria y Comercio la cual nace producto de la queja de nueve ciudadanos cuyos datos personales, precisamente nombre, cédula, correo institucional y número telefónico, fueron filtrados al público siendo publicados en una página Web que utiliza una plataforma de hosting gratuito. En el caso se expone que una vez en la Web, la información personal fue accedida por terceros quienes empezaron a amenazar a los Titulares enviándoles mensajes de texto y correos electrónicos en donde les indican que ellos junto con sus familias van a ser asesinados.
La Resolución en mención presenta dos situaciones claras: la primera es que hay una violación al derecho a la seguridad personal y a la vida como consecuencia del tratamiento ilegal, indebido y no autorizado de los datos personales por parte de una persona u organización a la que se debe identificar y la segunda, que se produjo un acceso, obtención y filtración de datos personales ilícito e ilegítimo en el lugar donde reposaban los datos. Si bien es cierto que la misma resolución se centra en la necesidad de bloquear con celeridad el sitio Web en donde se publicaron los datos personales de los Titulares, porque es a través de este sitio que se les continúan vulnerando sus derechos y que se permite la exposición para que sean víctimas de persecución y amenaza.
No se deja de mencionar que, el perjuicio se encuentra materializado y que se traslada el expediente al director de investigaciones de la SIC para que, realice lo que corresponda, que no es más que investigar al responsable de las bases de datos personales filtradas para observar políticas, protocolos, procedimientos, seguridad informática, junto con el manejo de incidencias, todo ello para determinar qué sucedió y entender cómo se filtraron datos personales de sus centros de almacenamiento.
Durante el ejercicio de su labor la SIC ha insistido en la necesidad de mejorar o robustecer las medidas de seguridad de las organizaciones para garantizar que el acceso, uso, consulta o adulteración no autorizada o fraudulenta no sea permitido, y a desarrollar, implementar y mantener un programa integral de seguridad de la información que:
- Garantice la correcta custodia, confidencialidad e integridad de los datos personales manejados a través del seguimiento de los principios rectores.
- El análisis del tamaño y complejidad de las operaciones realizadas a los datos.
- La medición de la cantidad de titulares, de la evaluación de la naturaleza de los datos.
- El tipo de tratamiento dado, el alcance, contexto y fines de tratamiento.
Y es por lo anterior que, en el caso analizado la SIC tendrá que buscar evidencia, dentro de los procesos del responsable, que le permita demostrar que todas las acciones han estado ajustadas a la Ley y que la filtración puntual obedeció tan solo a un caso fortuito que es corregible mediante medidas de mitigación.
Pero ¿Qué sucede con la investigación si se comprueba que la filtración fue producto de negligencia, ausencia de políticas, procedimientos administrativos, técnicos y de seguridad? o ¿No existe y ni quiera se tiene contemplado implementar un sistema de gestión para la protección de datos personales? además ¿Qué ocurriría si tal investigación arroja que, desde mucho antes se han producido reiteradas violaciones al régimen de protección de datos personales en esa empresa?
La respuesta a estos interrogantes se encuentra dentro del archivo de resoluciones de la SIC, el cual refleja una imposición de multas que van desde los 150 millones por fallas iniciales hasta los 500 millones de pesos cuando ha habido reincidencia de tales conductas, apreciándose aquí cierto grado de benevolencia pues, la Ley 1581 establece como tope de multa los 2.000 millones de pesos, cifra que es aplicable cuando a pesar de las continuas advertencias se continúa sin cumplir con todos los aspectos que exige la normatividad vigente.
Por lo anterior es que se usted debe tener cuidado y vigilar continuamente la protección de los datos personales dentro de su organización; pues, fallar puede ocasionarle multas costosas. Pero si de todas maneras el monto de una sanción sigue sin intimidarlo, entonces recuerde que a partir de una tercera reincidencia se puede tomar la decisión de ordenar el cierre definitivo de una empresa dado que, se considera que ni hay intención de cumplirle a los Titulares ni deseo de obedecer lo que establece la Ley por tanto, esté atento a sus procesos y asegúrese de proteger los datos personales que están bajo su responsabilidad.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
