¿Está preparado para ser auditado por la SIC?

Si bien es cierto  todas las organizaciones en Colombia que, de alguna manera capturen, almacenen o procesen información personal, están obligadas a cumplir con la Ley de Protección de Datos Personales, sin embargo, aquellas a quienes se les exige reportar en el RNBD (Registro nacional de bases de datos) deben disponer de sistemas más robustos y acordes con el tamaño y volumen de datos tratados; ello en virtud de que se considera que sus procesos de alguna manera tienen un mayor riesgo para los Titulares y que por su cantidad de transacciones pueden ser un objetivo para la ciberdelincuencia.

Así las cosas, las organizaciones que están en la lista de obligados a reportar sus bases de datos ante la Superintendencia de Industria y Comercio, siempre estarán en la lupa del inspector y podrán ser sujetas de auditorías en cualquier momento; es por ello que, se hace necesario conocer cuáles son los aspectos más relevantes dentro de un procesos de inspección tal como se detalla a continuación:

Base legal y transparencia:   Se deben tener claros los propósitos del procesamiento de datos, los tipos de datos que se procesan, quién tiene acceso a ellos en la organización, qué terceros participan en el proceso, dónde se encuentran los datos y qué se está haciendo para proteger la información por ejemplo, cifrarla o tratarla con acceso restringido.

Seguridad de los datos: Tenga en cuenta que la protección de la información personal se debe realizar en todo momento, desde que se capturan los datos, pasando por su almacenamiento y procesamiento hasta que ellos se eliminen eso significa que, durante los procesos de tratamiento siempre se deberán seguir tanto los principios de la Ley, como una serie de medidas técnicas y organizativas apropiadas que protejan dichos datos.  

Por ejemplo el cifrado, la anonimización  o la limitación de la cantidad de datos personales son algunos de los procedimientos típicos que deben ser implementados; además de lo anterior, se requerirá de una política de seguridad interna que sea conocida por todos los miembros del equipo que participa en el procesamiento de datos, un manual de procedimientos de seguridad, una evaluación de impacto de la protección de datos junto con un proceso establecido para llevarla a cabo cuando se necesite, más un procedimiento para notificar a las autoridades y a los Titulares cuando se presenten violaciones a los datos tales como son la pérdida, robo, copia o acceso no autorizado de los mismos.

Rendición de cuentas y gobierno de datos: Su organización debe contar con algún funcionario responsable por garantizar que, tanto interna como externamente se cumplan con las normas de protección de Datos que exige la Ley, adicionalmente deberán existir acuerdos de procesamiento de datos con aquellos terceros que traten datos personales en su nombre. No olvide que dentro de la rendición de cuentas está el proceso de reporte oportuno de las bases de datos y políticas ante la SIC. No hacerlo a tiempo puede acarrearle serios problemas y además le generará  una mala calificación en la auditoría.

Derechos de los Titulares: Al considerar este aspecto tenga presente que por Ley, las personas a quienes usted les recopila información personal tienen derecho a conocer qué información recopila de ello, cómo está utilizando su información, durante cuánto tiempo planea almacenarla y la razón por la que usted la conservará, además tienen derecho a solicitar corregirla, actualizarla o borrarla cuando la Ley así lo autorice; por esta razón usted debe disponer de un canal de atención para que, los Titulares puedan plantear sus peticiones, quejas o reclamos y para que reciban respuesta oportuna.

Una auditoría de la SIC no solo verificará si existe dicho canal de atención sino que evaluará la facilidad con la que dichos Titulares pueden presentar sus solicitudes, oponerse al procesamiento o a sus decisiones y recibir las correspondientes respuestas.

Tenga siempre presente que si su organización quiere limitar el riesgo de posibles sanciones deberá siempre tener sus procesos documentados, totalmente alineados con la Ley y listos para ser auditados en cualquier momento. Si tiene dudas, consulte a una empresa especializada en Protección de Datos personales para que verifique su estado de cumplimiento.