El desarrollo continuo de las telecomunicaciones sumado a la aparición de medios de intercambio digital de mayor capacidad y velocidad ha iniciado una revolución en los modelos de administración de las organizaciones, modelos que exigen un mayor cuidado al procesar y tratar la información personal en virtud a que se requiere evitar la violación a la privacidad la cual es un derecho fundamental que debe ser preservado. Así entonces, las normas de protección de datos personales en Colombia se alinean con las internacionales para establecer principios, directivas y estándares adecuados orientados al cuidado de los datos y a garantizar ese objetivo primordial que es la privacidad de las personas.
Normas como las establecidas en la Ley 1581 de 2012, en sus decretos reglamentarios o en las circulares de la SIC permiten a cada organización implementar modelos que se acomoden a su objeto social y a sus procesos, pero… ¿Qué sucede si se desconocen aspectos de esta Ley? O ¿Qué ocurrirá si no se entiende claramente sus objetivos o no se implementan correctamente los procedimientos requeridos?
Una ejecución de tareas carente de evaluaciones de riesgo y protocolos específicos para el tratamiento de datos personales genera una incertidumbre jurídica dado que la organización podría ser multada, cerrada por un lapso de tiempo o indefinidamente, o tal vez ver comprometido su capital y sus recursos producto de una sanción ejemplar, y ello solo sucede no porque se haya producido un error o porque se haya presentado una situación compleja, sino porque generalmente no existen planes de mitigación y no se está preparado para enfrentar una situación adversa, por tanto el caos administrativo generalmente aparece.
Ahora bien, conocer la Ley no implica necesariamente que se obedezcan los lineamientos establecidos dado que para esto también se requiere un compromiso total de la organización y un seguimiento estricto de los procesos; en sentido contrario la implementación de protocolos no garantiza la ausencia de errores, sin embargo, se puede asegurar que estar preparado para cualquier contingencia es la mejor opción.
Con lo expuesto hasta aquí el lector podrá concluir que la seguridad jurídica solo es posible si se conoce a fondo la Ley 1581 (Ley PDP), si se entiende la razón por la cual se hace necesario proteger los datos personales, si se conocen las implicaciones para la organización cuando éstos últimos no se protegen eficazmente y si es posible probar que existe un compromiso con ese derecho fundamental que es el de la privacidad, es decir, si existe una política de protección de datos, si hay evidencia de protocolos y procedimientos orientados al manejo de la información personal los cuales no solo se ajustan a lo requerido por la Ley sino que, son cumplidos a cabalidad por los funcionarios de la organización, y si hay mecanismos de vigilancia, control de procesos y mitigación de riesgos.
La política siempre es el punto de partida, ésta deberá ser divulgada a funcionarios, encargados, responsables y notificada a los titulares de la información dado que no se podrían esperar resultados significativos si aquellos que estén involucrados con el manejo de los datos no están enterados de los aspectos relevantes al proceso; dentro de dicha política deberá definirse un responsable del tratamiento de datos personales cuya función será la de vigilar y controlar que todo lo establecido tanto en la Ley como en tales políticas se cumpla y que efectivamente se alcance lo esperado; no obstante es necesario tener claro que el proceso atañe a toda la organización por lo tanto la participación de los diferentes involucrados es necesaria, no se debe dejar solo al responsable de la protección de datos personales, más bien, se deben compartir las experiencias obtenidas, soportándose unos a otros en un ambiente proactivo que agrupe a las diferentes áreas de la empresa.
Estando en este punto del proceso de implementación de la PDP con las políticas y los procedimientos activos, muchas empresas en Colombia piensan que ya están preparadas para cumplir con la protección de datos personales, sin embargo, ello está muy lejos de la realidad. Seguimiento, control, auditorías y pruebas del sistema son actividades de ejercicio cotidiano que deben ser insertadas al proceso. Un análisis realizado en forma aleatoria a algunas organizaciones en Colombia muestra que a pesar de que ellas tienen noción de la Ley, sus procesos aún presentan conflictos lo cual hace evidenciar que, sin necesidad de revisar a fondo las actividades internas, se comenten diferentes tipos de infracciones entre las cuales están:
- No contar con políticas de privacidad a pesar que el sitio web captura información personal.
- Las políticas de privacidad reflejan normas no vigentes.
- La finalidad de la captura de datos y el tratamiento que se le dará a la información es incongruente o no está completa, además se omiten datos como periodo de almacenamiento y se piden datos irrelevantes con el objeto del negocio.
- No se establece si se transferirán o no los datos a terceros y cuando se indica que ello sucederá no se especifica a quién o se menciona vagamente que tal información está destinada a socios.
- No se indica si hay procesamiento automatizado, algunas páginas no mencionan que usan cookies sin embargo el registro del navegador muestra su activación y a pesar de ello no se explica ni su propósito ni su tiempo de almacenamiento además que no se pide la respectiva autorización del titular.
- En ciertos formularios no hay medios para que se autorice el uso de los datos por lo que se presume que no quedan registros del consentimiento de los titulares de la información.
- En diferentes sitios no se indica cómo se puede ejercer el derecho a la supresión de los datos, ni se presenta un correo electrónico destinado a atender PQRs, tan sólo el asesor a su arbitrio será el medio de contacto.
Las anteriores son vulnerabilidades, descubiertas en algunas empresas que cuentan con un sitio web que no cumple con los lineamientos de la PDP, son evidencia del desconocimiento parcial de la Ley, muestran los riesgos en la continuidad de la operación de cada organización, y son el preámbulo que motivaría la realización de auditorías más profundas buscando encontrar infracciones graves o muy graves en procesos tales como los de contratación, adquisición de bienes y servicios, venta y postventa, marketing, control de seguridad, etc.
¿Y qué hacer entonces para minimizar las vulnerabilidades? La respuesta es simple: apoyarse en un consultor especializado, asignar un responsable de la gestión de tratamiento de datos personales y contar con un software de gestión que le ayude a organizar y planificar las actividades básicas, a soportar el seguimiento y el control de los procesos, y a mitigar los riesgos. Esas son acciones vitales que no solo dispersarán las vulnerabilidades sino que darán estabilidad jurídica a la gestión PDP.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
