En innumerables ocasiones la Superintendencia de Industria y Comercio (SIC) emite circulares y/o resoluciones destinadas a mejorar los procesos de las organizaciones y a subsanar errores o debilidades que se han encontrado durante sus actividades de control y auditoría. Esto es algo que muchos consideramos adecuado, porque no solo ayuda a mejorar el funcionamiento de nuestra empresas sino que nos permite crecer dentro de un mundo globalizado.
En esta instancia se debe entender que función de la SIC, como organismo rector de la Ley de Protección de Datos Personales en Colombia, no consiste en andar sancionando a la primera entidad que se le atraviese y que cometa alguna falta, sino que su tarea consiste en liderar a nivel institucional la expansión de la cultura de Protección de Datos Personales; pues, se sabe que en la medida que las organizaciones incorporen dentro de sus procesos un compromiso para manejar adecuada y eficientemente la información que llega a sus manos, estaremos funcionando mejor como país.
Ahora bien, el hecho que la SIC no esté en función de cazar infractores y colocar multas no significa que sus peticiones puedan ser olvidadas o menospreciadas, y eso lo decimos porque en algunos ambientes empresariales se ha incrustado el mal hábito de no responder a sus requerimientos en los términos y tiempos que ella establece, tan solo actuando cuando aparecen los llamados a descargos por parte de esa organización.
En este sentido se tiene que saber que la SIC, tal como lo hace la DIAN, tiene la capacidad de usar herramientas pesadas para obtener lo que requiere; y es que si nos fijamos bien, tan solo en el último año la SIC ha impuesto cerca de 1.450 millones de pesos en multas producto del desacato, y ha establecido una diversidad de sanciones administrativas, recordando con ello que estas pueden incluir la suspensión temporal de las operaciones hasta por seis meses cuando existen incumplimientos que involucren tratamiento de datos personales generales, o la suspensión definitiva de las operaciones cuando el tratamiento involucra datos personales sensibles.
Si aplicamos lo expuesto anteriormente, tales sanciones administrativas significarán que una empresa comercial podría mantener cerrada su operación hasta por seis meses por causa de un mal manejo de la información personal de sus clientes, y quizás un sindicato, una asociación política, una comunidad religiosa e inclusive una institución educativa podría ser cerrada definitivamente, ya que su operación diaria involucra el tratamiento de los datos personales de los miembros y/o estudiantes.
Existen diferentes aspectos que a menudo son dejados atrás y olvidados por las organizaciones, pues se considera que no son importantes; sin embargo, su incidencia en las resoluciones sancionatorias es verdaderamente destacada. Veamos algunos de los más recurrentes:
- No inscribir las bases de datos en el RNBD
Esto es una falta grave que evidencia la falta de responsabilidad.
- Incumplir con cualquier requerimiento de la SIC dentro del plazo establecido.
Aquí se pone en riesgo los derechos, libertades y garantías constitucionales de los titulares.
- No implementar políticas de Seguridad.
Esta falta menoscaba el principio de confiabilidad, integridad y disponibilidad de la información de carácter personal.
- No implementar manual de procedimientos para atención de PQRs.
Este es el origen de la violación de los derechos de los Titulares; pues facilita que no se atiendan sus requerimientos.
- No implementar políticas de Tratamiento de Datos Personales.
Sin este soporte, todos los procesos subsecuentes dentro del sistema de gestión de protección de datos personales fracasarán.
- No implementar un manual de procedimientos para recolección, almacenamiento, uso, circulación y supresión de los datos.
Grave, si se tiene en cuenta que el staff de funcionarios que participan en los procesos de tratamiento de datos no tendrá guía para la ejecución de sus tareas.
- No disponer de mecanismos legales para recolectar datos de los Titulares.
Esta ausencia impide que el Titular conozca claramente la finalidad del uso de sus datos, y que tenga la oportunidad de autorizar el tratamiento.
Todo lo anterior nos lleva a insistir en la necesidad de responder de forma inmediata a cada requerimiento de la SIC, gestionando cuanto sea solicitado en el menor tiempo posible, ello redundará en una total tranquilidad para su organización.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
