El resolver la inquietud planteada implica establecer que todas las organizaciones en Colombia que manejen datos personales deben cumplir con la Ley 1581 (Ley PDP) mediante la adopción de mecanismos, protocolos y procedimientos que garanticen la seguridad y total privacidad de la información recopilada más aún cuando tal información es de tipo sensible y también implica reconocer que la Superintendencia de Industria y Comercio es el organismo rector encargado tanto de vigilar el cumplimiento de dicha ley como de establecer sanciones por la violación de la misma, sanciones que conllevan multas hasta de 2000 SMLV (cerca de mil ochocientos millones de pesos) y que administrativamente pueden ocasionar desde reconvenciones hasta el cierre definitivo de la empresa.
Pero al final ¿Qué le exige la Ley a este tipo de instituciones médicas? En primer lugar, se pide que los responsables establezcan un propósito para la recolección de los datos, que determinen qué tipo de datos son indispensables para su gestión, que establezcan políticas para su procesamiento, que implementen sistemas de seguimiento y control de los procesos, que asignen recursos físicos y económicos para realizar una gestión ajustada a la Ley y que tengan la capacidad de enfrentar exitosamente cualquier auditoría sobre los datos almacenados.
Así mismo, bajo la Ley PDP los responsables del tratamiento de datos personales deberán obtener siempre el consentimiento explícito de los titulares para el uso de su información y tendrán que disponer de sistemas de protección y resguardo reforzados para las bases de datos obtenidas dado que éstas en gran parte corresponden a datos sensibles. Se les requerirá también de registros que tracen todas las actividades de procesamiento sin importar que dichas sean realizadas por un tercero dado que, es responsabilidad de la institución estética asegurarse de que ese tercero cumpla con la Ley y respete las normas de protección de datos personales.
Por último, a los centros de estética facial y corporal se les exige mecanismos tanto para atender a los titulares, en caso de que tengan peticiones o reclamos, como para responder a incidentes en los que se puedan producir violaciones con los datos almacenados.
En general cada centro de estética facial y corporal deberá entender el marco legal y las implicaciones de no cumplir con las normas requeridas en la Ley PDP y realizar al menos una auditoría de diagnóstico preferiblemente a través de un consultor especializado para que compruebe el funcionamiento de los procesos, luego tendrá que crear un registro del tratamiento o un diario de la gestión sobre los datos personales, este último incorporará la fecha, el propósito de captura de la información, los involucrados en el tratamiento y el ciclo de vida de los registros almacenados.
Posteriormente se deberá clasificar cada dato obtenido estableciendo dónde se almacenará, quién tendrá acceso a él y a quién se le compartirá, para finalmente evaluar cómo se producen, cómo se protegen, qué impacto produce la privacidad y la protección de datos en la institución, determinando con ello si se requieren otras estrategias como podrían ser encriptar las bases de datos, crear medios alternativos de respaldo o almacenar sea localmente o en la nube; si todo lo anterior se encuentra documentado entonces se contará con la prueba que demuestra que la empresa efectivamente realiza gestión de protección de la información.
Algo indispensable que debe hacer la institución es evaluar y documentar los riesgos, permitiendo con ello no solo descubrir con qué procesos se hace vulnerable sino tomar acciones frente a tales vulnerabilidades para así minimizar su impacto.
Estando aquí se podrá concluir que, un centro de estética facial y corporal tendrá que invertir recursos, personal y tiempo para cumplir con lo requerido anteriormente y para realizar una gestión libre de errores alineada con todos los aspectos de la Ley y aunque en el papel tal gestión no es compleja, sí es verdaderamente dispendiosa dado que para tener resultados efectivos se requerirá calidad de los datos y un ajuste total de los procesos al marco legal, lo que a veces no es posible si se tiene en cuenta que en las implementaciones manuales que involucran varios departamentos usualmente se presentan problemas tales como información duplicada, incompleta o incongruente.
Por lo anterior y con el objetivo de evitar los problemas citados es que se creó la aplicación “Sistema de Apoyo a la Gestión de Datos Personales” la cual se convierte en la fuente consolidada y confiable de información acerca de la gestión realizada, y que frente a cualquier auditoría permite demostrar el compromiso y la ejecución de las tareas relacionadas siendo la base del cumplimiento de requisitos de la PDP y la responsabilidad demostrada.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
