En el último año, la Superintendencia de Industria y Comercio (SIC) ha intensificado su vigilancia sobre la tercerización del tratamiento de datos personales. Más de 101 investigaciones derivaron en multas superiores a $5.157 millones, evidenciando fallas tanto de los responsables del tratamiento como de los encargados contratados.
¿Cuáles errores son las más frecuentes de parte de los responsables?
- La SIC ha encontrado contratos, incompletos o ambiguos, en los que se delega el tratamiento sin establecer cláusulas claras sobre seguridad, confidencialidad y supresión de datos.
- También se ha evidenciado ausencia de mecanismos de auditoría y supervisión sobre los terceros, falta de diligencia en su selección con ausencia de certificaciones, de historial de cumplimiento o de capacidad técnica. En varios casos, los proveedores ni siquiera tenían políticas de protección de datos alineadas con la Ley 1581 de 2012.
- Las deficiencias en la supervisión continua ha sido otro punto destacable; pues, los responsables no exigieron reportes periódicos ni trazabilidad de las operaciones realizadas por los terceros; también se encontró que había ausencia o desconocimiento sobre el manejo de incidentes de seguridad, lo que en la práctica condujo a afectaciones de diferentes titulares.
¿Y qué errores, atribuibles a los terceros encargados, fueron detectados por la SIC?
- El uso indebido de la información ha sido un factor predominante, encontrando que los encargados habitualmente procesan datos para finalidades distintas a las autorizadas, como el marketing no consentido; a ello se suma la realización de transferencias internacionales de datos sin contar con garantías adecuadas.
- Con respecto a las medidas de seguridad, las inspecciones evidenciaron insuficiencia; pues, muchas bases de datos se mantenían sin cifrado, el personal accedía sin mediar autenticación, e innumerables registros quedaban expuestos en servidores vulnerables. Adicionalmente, se encontró que en sectores como el fintech y el de cobranzas, se producían filtraciones a causa de aplicaciones móviles mal configuradas.
- Frente a la notificación de incidentes, varios encargados omitieron informar oportunamente sobre brechas de seguridad, impidiendo que los responsables alertaran a la SIC y a los titulares.
¿Qué recomendaciones da la SIC a las organizaciones responsables?
La SIC ha emitido lineamientos claros para reducir riesgos en la tercerización:
- Disponer de contratos completos que Incluyan cláusulas sobre finalidades, medidas de seguridad, auditorías, supresión de datos y responsabilidad compartida.
- Mantener un debida diligencia en la selección de proveedores, verificando certificaciones como ISO/IEC 27001 y 27701, historial de cumplimiento y políticas internas de privacidad.
- Supervisar y auditar periódicamente al encargado, exigiéndole reportes de trazabilidad, auditorías internas tanto técnicas, como documentales, más evidencia verificable del cumplimiento.
- Establecer protocolos claros de notificación inmediata frente a incidentes, planes de respuesta a los mismos, y medidas de coordinación entre responsable y encargado.
- Desarrollar mecanismos informativos hacia los titulares sobre la participación de terceros en el tratamiento de sus datos, y contar con procesos de validación del consentimiento.
Las sanciones de la SIC del año en curso demuestran que la tercerización no exime de culpa al responsable de tratamiento; pues, tanto él como el encargado deben cumplir estrictamente con los parámetros de la Ley 1581 y demás regulación aplicable. La SIC insiste en que la clave del éxito en la relación de outsourcing para el tratamiento de datos personales está en la corresponsabilidad, la trazabilidad y la auditoría continua.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
