A la luz de la Ley 1581 de Protección de datos personales (PDP), el término «Responsable de la información personal» se refiere a la entidad encargada de capturar, almacenar y utilizar los datos personales que tiene en su poder, indiferente si tal entidad es de tipo gubernamental o privada, o si corresponde a una persona natural o jurídica.
Conforme a la dicha Ley 1581, la entidad en mención debe adoptar las medidas de supervisión y control adecuadas en el momento en que sus procesos involucren recopilar, procesar o utilizar los datos personales de cualquier persona que resida en Colombia o fuera del país. Entre las medidas de supervisión y control exigidas se encuentran las siguientes:
Se requiere definir el alcance, los tipos, los propósitos específicos y la duración de dicha recopilación, procesamiento o uso.
Se deben definir las medidas de seguridad de los datos con su modelo de implementación en la entidad, de manera que se prevenga o evite el acceso, copia o uso no autorizado.
Se deben definir los encargados del tratamiento de datos; estos encargados son quienes interactúan con la información pudiendo visualizarla, modificarla, eliminarla, conservarla o transferirla de un lugar a otro.
Se deben definir protocolos de manejo de los datos, así como los procedimientos a aplicar cuando la entidad o el empleado encargado de la información viola la Ley PDP, las leyes relacionadas las regulaciones de protección de datos personales promulgadas por la SIC.
Se deben definir los aspectos de reserva de datos a filiales, a terceros o a entidades gubernamentales que puedan solicitar algún tipo información personal relevante para el ejercicio de su actividad.
Se deben establecer criterios y métodos para manejar dispositivos que contengan datos personales, para eliminar los archivos de datos almacenados cuando su servicio ha finalizado o para conservados en los casos excepcionales que se requiera.
Además, cada responsable debe mantener registros disponibles para consulta por parte de la agencia de control (SIC), los cuales deben confirmar que se han tomado las medidas mencionadas anteriormente y que dichas medidas se evalúan periódicamente ponderando sus consecuencias en términos de gestión.
Aunque la Ley PDP no establece parámetros y fechas de entrega de resultados, tal como lo hacen entidades de impuestos o las que manejan aspectos estadísticos, cada organización debe registrar la información de las bases de datos personales que maneja ante la SIC, y debe estar preparada para una visita de inspección de dicha entidad, teniendo organizados sus protocolos, procedimientos y registros de acciones de manera que durante la consulta practicada se pueda demostrar la responsabilidad de la organización frente a las exigencias de la Ley PDP.
Con esto se recomienda adoptar medidas de supervisión periódica a través de compañías auditoras las cuales observarán los procesos, identificarán o no errores, recomendarán prácticas adecuadas y expondrán asuntos relevantes para el mejoramiento de los procesos de seguridad y los relacionados con el tratamiento de la información.
El responsable del tratamiento de datos personales deberá, en el caso de que se produzca un incidente de violación de datos o incumplimiento de la Ley PDP, notificar tanto al interesado afectado por la violación como a la SIC sobre la ocurrencia del incidente para que se puedan tomar las acciones que correspondan y se puedan reestablecer los derechos del titular de la información a la mayor brevedad.
Por último y no menos importante, el responsable de datos personales deberá mantenerse actualizado en torno a lo que establece la Ley 1581 y sus decretos reglamentarios así como las leyes relacionadas, en especial las que tratan temas de seguridad tal como lo establece el documento COMPES 3701 DE 2011 expedido por el Ministerio de las Tecnologías de información y las Comunicaciones (Min TIC), el cual establece los lineamientos, el marco legal y el reglamentario en temas Ciberseguridad y Ciberdefensa, dado que las diferentes leyes se pueden superponer en algunos casos de incidentes de violación de datos.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
