En la actualidad en Colombia operan cerca de 1500 establecimientos entre Gimnasios y centros de entrenamiento, y ellos agrupan alrededor de 460.000 personas que realizan algún tipo de actividad física dentro de sus locales, considerándose tal cantidad de individuos como bastante significativa; pues, equivale casi al 1% de la población nacional. Ahora bien, desde el punto de vista de la protección de datos personales y la seguridad de la información es importante estudiar qué es lo que sucede con este gremio, ello en virtud a que continúan presentándose situaciones anómalas e incidentes que involucran a los diferentes usuarios de este tipo de negocio.
El caso más reciente lo describe la resolución 83874 de la Superintendencia de Industria y Comercio (SIC) en la que se impone a un Gimnasio una sanción económica de casi ochenta millones de pesos y una orden administrativa que lo obliga a establecer políticas y un sistema administrativo y de seguridad adecuado y eficiente que subsane las deficiencias encontradas en la auditoría. Pero, ¿qué fue lo que aconteció para que ese Gimnasio fuese sancionado de tal manera?
La respuesta se centra en una muy pequeña brecha de seguridad que condujo a la copia ilegal de la información de 150 tarjetas de crédito de clientes, lo que supuso una afectación a esa misma cantidad de titulares.
Una vez practicada la correspondiente auditoría por parte de la SIC se evidenciaron considerables deficiencias en los procesos internos de tratamiento de datos que van en contra de los requisitos legales. Dichas deficiencias fueron consideradas como injustificadas; pues, evidenciaban la falta de interés y de responsabilidad por parte del administrador y/o propietario del negocio frente a la protección de la información personal.
Veamos a continuación algunas de ellas: Inconsistencias y parámetros faltantes dentro de la política de protección de datos personales del negocio, falta de avisos de privacidad en los lugares donde por Ley son requeridos, falta de procedimientos para manejo de incidentes de violaciones de seguridad, falta de procedimientos para la recolección y tratamiento de datos dentro de la organización, falta de políticas de seguridad de la información, y carencia de medidas técnicas eficientes para resguardar y hacer circular la información tanto dentro como fuera de la organización.
Sin perjuicio de las consecuencias penales que den a lugar producto de la afectación de los Titulares, la resolución sanciona por el hecho que no se cuente con un sistema de gestión adecuado para tratar los datos personales dentro de la organización, y que producto del incidente, el cual no fue reportado oportunamente a la SIC y a los Titulares, se hayan presentado afectaciones económicas a cada uno de ellos.
Y es que al analizar el incidente se puede evidenciar que la sustracción de la información de las tarjetas de crédito solo es posible si no existen elementos de control técnico y humano para la operación de los datos, o si los controles existentes son ineficaces.
Con base en lo anterior es que nacen las siguientes recomendaciones para este tipo de establecimientos, buscando con ellas que se tenga una base mínima para el aseguramiento de la información y la protección de datos personales:
- Recolecte solo la información personal que sea indispensable para su operación.
- Preste especial atención a los datos de menores de edad protegiéndolos de manera reforzada, y verifique que los datos del acudiente que firma el contrato sean verídicos.
- Tenga presente que si usted utiliza medios internos o formularios suplementarios que registran información personal adicional a la inicial, entonces usted debe solicitar una nueva autorización de tratamiento.
- Cuando sea indispensable el tratamiento de datos sensibles usted no solo debe informar la finalidad sino que debe dejar claro el carácter facultativo de la respuesta a las preguntas.
- Recuerde que si usted usa sistemas de video vigilancia, entonces debe disponer de avisos de privacidad que den cumplimiento a lo establecido en el decreto 1074 de 2015, y que informen a los titulares acerca de la recolección de datos personales por ese medio.
- Tenga cuidado con las hojas de vida que reciba por correo electrónico, usted debe contar con la debida autorización de uso por parte del aspirante.
- Todos sus funcionarios deben autorizar el tratamiento de sus datos personales, y deben firmar un acuerdo de confidencialidad para los casos en que participen en procesos de captura, almacenamiento y uso de información personal.
- Asegúrese que lo anterior sea incluido en políticas públicas, y en manuales de procedimientos internos.
- Restrinja la navegación en la Red, el acceso a correos electrónicos, la visita a sitios Web. y la copia de datos e instalación de software mediante discos o puertos USB.
- Implemente un sistema de gestión de seguridad basado en políticas internas, en procedimientos específicos y en los estándares vigentes para la protección de la información.
Recuerde que la protección de datos personales es de carácter obligatorio para todo tipo de establecimiento así este tenga un solo empleado. El no cumplimiento de la Ley no solo afecta a los Titulares de la información sino a su negocio, el cual se verá expuesto a multas y sanciones. Considere entonces, implementar un sistema de gestión para la protección de datos personales en forma inmediata si no cuenta con él.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
