Una de las discusiones que generalmente aparecen dentro del análisis de la Protección de Datos Personales tiene relación con la inquietud que plantea considerar como suficiente disponer de Políticas, Protocolos y Procedimientos para tratar adecuadamente la información y cumplir con lo dispuesto por la Ley 1581 /2012, ello en virtud a que se considera que al disponer de éstos últimos se están observando la mayoría de aspectos necesarios requeridos por la responsabilidad demostrada. Es aquí entonces cuando la Corte Constitucional da una respuesta objetiva: “En términos acatamiento de las normas legales, el derecho sustancial siempre prevalecerá sobre el derecho formal”. Pero, ¿qué significa eso?, pues simplemente que si se cumple con las obligaciones se da por sentado que se ha cumplido con el derecho formal y sus rigurosidades, y que si se incumple entonces se entiende que no se ha obedecido con las formalidades, así esto si haya sucedido.
En términos de Protección de Datos Personales el cumplimiento del derecho sustancial es preferente; por lo tanto, es indispensable evitar caer en el error de considerar que la Ley 1581 es tan solo un conjunto de reglas que exigen documentos para cumplir con la responsabilidad demostrada, y que se puede esperar ser eximido de culpabilidad frente a un incidente si tan solo se logra disponer de todos o algunos de tales documentos, pues ese error ha llevado a muchas organizaciones a ser sancionadas económica y administrativamente por la Superintendencia de Industria y Comercio, dado que no entendieron la finalidad de la Ley 1581, la cual es salvaguardar los derechos de las personas naturales.
Una práctica común de la dirección de gestión en diferentes organizaciones, la cual para nada es recomendable, consiste en copiar las políticas de privacidad de otros negocios que se consideran algo parecidos, buscando con ello tanto ahorrar tiempo y esfuerzo, como cumplir con un requerimiento de la Ley; no obstante los objetivos trazados están totalmente alejados de lo que acontece en realidad, pues las políticas se derivan de un entendimiento del modelo de negocio que no solo se acopla a la legislación sino a las necesidades y preocupaciones de las personas con las que la organización interactúa, por lo tanto esa política que fue copiada no será precisa, ni guardará relación con lo que es necesario para la misma organización, razón por la cual la gestión, con el transcurrir del tiempo, necesariamente incurrirá en una o varias infracciones que afectarán esa sustancialidad que es buscada por la Ley.
Generalmente cuando una empresa que no tiene claros los objetivos de sus políticas y procedimientos sufre un incidente con datos personales accede a sanciones drásticas, y eso ocurre porque en la auditoría se demuestra que sus políticas no coinciden con las necesidades y que si se practicó un análisis previo entonces este quedó mal hecho.
Por todo lo anterior se concluye que es indispensable entender las responsabilidades frente al tratamiento los datos de las personales y el objetivo de la gestión, el que al final no debe buscar acumular documentos a través de protocolos y procedimientos bien elaborados, sino garantizar la privacidad de las personas y la protección de sus datos para que no se vulneren sus derechos.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
