En Colombia, la protección de datos personales esencialmente está regulada por la Ley 1581 de 2012 y sus decretos reglamentarios, tal regulación se enfoca en establecer los principios, derechos y procedimientos para el manejo adecuado de la información personal, y es allí donde aparece una obligación particular que establece el deber de notificar cualquier violacióna la seguridad y privacidad de los Datos Personales que la organización tiene en su poder.
La mencionada notificación debe dirigirse tanto a la Superintendencia de Industria y Comercio (SIC), como a los titulares de los datos que han sido afectados, ello en los términos y condiciones que la misma ley establece; es decir, de manera oportuna, transparente y clara, proporcionando información sobre la naturaleza de la violación, las categorías de datos afectados, las posibles consecuencias para los titulares de los datos y las medidas que se están tomando para abordar la situación.
Es importante entender que la acción de notificar no implica necesariamente que se va a recibir una sanción; pues, toda organización puede ser víctima de una violación a la privacidad de los datos ya que no existen sistemas de seguridad invulnerables.
En realidad lo que busca la notificación es alertar a la SIC y a los Titulares para que estén atentos a las posibles consecuencias.
Una vez surtida la notificación a la SIC, se evaluará con objetividad lo sucedido y se determinará si el incidente es producto de eventos de fuerza mayor o si está relacionado con ausencia parcial o total de mecanismos de seguridad.
Ahora bien, ¿Cuáles son las consecuencias legales por “No Notificar” una violación de Datos Personales en los términos planteados?
No atender esta obligación trae entre otras las siguientes consecuencias:
1. Inicio de investigaciones e inspecciones “In Situ”.
2. Exigencia de aplicación de medidas de seguridad correctivas inmediatas.
3. Acceso a sanciones administrativas tales como tener que cesar la operación de tratamiento de datos personales hasta tanto no se evidencia la aplicación de las medidas correctivas.
4. Acceso a multas económicas que de acuerdo a factores atenuantes o agravantes pueden llegar a ser significativas, castigando hasta el 50% de las ganancias operativas del año en curso sin superar en todo caso los dos mil seiscientos millones de pesos para el año 2024.
Con respecto a los agravantes, éstos se relacionan directamente con el riesgo o afectación ocasionada y con el origen de la violación; esto quiere decir que si muchos titulares quedan en riesgo o sufren afectaciones la multa será más onerosa, lo mismo sucede si el origen del incidente es producto de actuaciones negligentes o intencionales que condujeron a facilitar el acto de violación de la información personal almacenada.
Por supuesto que la meta de toda organización es minimizar los riesgos de violación de la privacidad de los datos que almacena, para así evitar tener que afrontar el régimen de notificaciones y verse expuesta a sanciones; por lo tanto, además de seguir las disposiciones establecidas en la Ley 1581 y demás regulaciones vigentes en Colombia, toda empresa deberá tener en cuenta los estándares internacionales y las buenas prácticas en materia de protección de la información, lo cual implicará asesorarse de expertos para poder implementar medidas de seguridad adecuadas que incluyan tanto aspectos humanos como administrativos y técnicos, y que estén ajustadas a las necesidades y características de la organización.
Esto último ayudará no solo a garantizar el cumplimiento legal, sino que contribuirá a fortalecer la confianza de empleados, proveedores y clientes, y la reputación de la organización.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
