¿Cómo nos acercamos al cumplimiento de la Ley PDP cuando la SIC nos hace un requerimiento?

La Ley de Protección de Datos Personales en Colombia es regulada por la Superintendencia de Industria y Comercio (SIC), siendo este organismo el encargado de verificar que toda organización, sea ésta pública o privada, con ánimo o sin ánimo de lucro, de gran tamaño o tan solo una microempresa, cumpla con las normas establecidas frente al tratamiento de la información personal dentro de nuestro país.

Dentro de su rutina de verificación, los funcionarios de la SIC diariamente cotejan la información existente en las bases de datos de su institución con la proveniente de  otros organismos tales como las Cámaras de Comercio, la DIAN, las Asociaciones de Empresarios, etc.; y así mismo evalúa las quejas de los titulares que son interpuestas por presuntas violaciones a sus derechos de Habeas Data o de privacidad, todo lo anterior con la finalidad de consolidar un listado de posibles infractores.
Por supuesto que no todo indicio conduce a una investigación; pues, siempre se requerirá de información lo suficientemente congruente para iniciar un proceso que  concluya con una sanción, es así entonces cuando la SIC solicita el suministro de evidencias de los sistemas de gestión propios de cada organización, para que sean éstos los que muestren si se infringe o no los diferentes aspectos de la norma.

Ahora bien, la misma SIC lo ha reiterado; su función no es ser un caza infractores sino un organismo que promueva las buenas prácticas de manejo de información para así garantizar el respeto a los derechos de los Titulares. Es por lo anterior, que en la mayoría de sus requerimientos hacia las organizaciones otorga un tiempo prudencial para que se demuestre la implementación de un Sistema de Gestión para la Protección de Datos Personales; buscando con ello que se produzca un afinamiento práctico de los procesos de manera que se cumpla al 100% con lo exigido por la ley.

¿Cómo podemos acercarnos al cumplimiento de la Ley PDP cuando la SIC nos requiere demostrar la implementación de un sistema de gestión?

En todos los casos se debe evaluar el estado actual en la empresa en términos de cumplimiento y luego verificar en todas las áreas la implementación del Sistema integral para la Gestión de Tratamiento de Datos Personales. 

Dentro de las consideraciones se debe tener en cuenta lo siguiente:

• Realizar una evaluación del nivel de madurez de la organización respecto a la Ley PDP, con la finalidad de detectar las tareas pendientes por realizar y las brechas en seguridad. En caso que existan tareas pendientes o brechas entre los procesos y las exigencias de la norma, se deberán establecer las causas para que esta situación aún no se haya superado y el tiempo que requerirá hacerlo.
• Se debe elaborar un plan de acción incorporando en él los aspectos prioritarios dentro de la adecuación de procesos frente a la norma.
• Con respecto a las brechas, se deben instaurar políticas, protocolos y procedimientos congruentes con el plan de acción de manera que se superen y se minimice cualquier diferencia entre los procesos y las exigencias de la norma.
• Una vez superadas las deficiencias se debe volver a revisar los procesos para verificar que la implementación realizada cumple con los objetivos trazados.

¿Qué se necesita para alcanzar el éxito del proceso de implementación?

• Un equipo con experiencia en auditorías de cumplimiento de la Ley PDP e implementación de Sistemas de gestión, que soporte, asesore y conduzca la organización hacia el cumplimiento total de la norma.
• Un software que contenga el plan de acción en su totalidad completo el cual debe estar adaptado a las características de la Organización, y debe contar con capacidad de medir el proceso, centralizar la documentación y controlar las tareas a ejecutar.
• Un proceso de capacitación y formación del oficial de protección de datos personales y de los funcionarios que están involucrados con la operación de tratamiento de datos dentro de la organización.

Una vez más reiteramos que todas las empresas en Colombia, sin importar a qué sector pertenecen, deben cumplir con lo establecido en la Ley PDP y sus decretos reglamentarios, y  en caso de requerimiento de la SIC deberán demostrar que han acoplado su procesamiento de datos personales a los requisitos de la norma, y han implementado las medidas humanas, técnicas y administrativas adecuadas y eficientes que garantizan la protección de los datos personales que están bajo su responsabilidad.