PREVINIENDO MULTAS POR FALLAS EN LA PROTECCIÓN DE DATOS PERSONALES

La Superintendencia de Industria y Comercio (SIC) debe imponer sanciones producto de violaciones de las normas de protección de datos personales establecidas en la Ley 1581 de 2012. En tal sentido existen diferentes recursos para corregir cualquier infracción o conducta indebida que cometa una organización; dichos recursos van desde la reconvención o la limitación temporal de tratamiento mientras no se resuelva la no conformidad, hasta llegar a las multas e inclusive a la  prohibición del procesamiento de datos con el cierre del establecimiento.

A raíz de lo anterior, cualquiera podría pensar que la mayoría de las empresas actúan en forma muy juiciosa implementando protocolos  que aseguren el cumplimiento de todas exigencias de la Ley,  más aún cuando esta misma Ley lleva 10 años de vigencia; sin embargo,  la realidad es significativamente diferente, un gran porcentaje de las empresas en Colombia no han desarrollado procedimientos orientados a cumplir lo requerido por la Ley,  y no cuentan con medios para garantizar el derecho constitucional de los titulares de los datos personales.

 ¿Por qué las empresas no cumplen?

(Lea también 5 errores cometidos por las organizaciones frente a la protección de datos personales)

La respuesta se centra en dos aspectos: en primer lugar, el desconocimiento de la Ley y la poca importancia que la administración de las organizaciones le da a la protección de datos, siendo esta última situación originada por la falsa idea que, la información personal no tiene suficiente valor, y porque se piensa que las personas generalmente no invierten tiempo para reclamar sus derechos; con lo cual la posición dominante prevalecerá, el individuo afectado desistirá de enfrentar un problema, y los organismos de control terminarán por no actuar. No obstante, gran sorpresa se llevan las organizaciones porque eso no es lo que actualmente sucede: los titulares terminan por reclamar sus derechos, la SIC los escucha y los protege eficientemente, por ende las organizaciones terminan siendo sancionadas; prueba de ello son todas las penas económicas impuestas a diferente tipo de entidades, que van desde las grandes prestadoras de servicios financieros y de  comunicaciones, pasando por un universo de instituciones educativas, entidades de comercio, organismos oficiales hasta llegar a  pequeñas industrias y conjuntos residenciales.

En ese orden de ideas, los organismos de control siempre buscarán que las multas sean efectivas, proporcionadas y disuasorias, por tanto al imponerlas, la autoridad hace uso de un compendio de criterios que permiten garantizar la justicia de sus decisiones, entre ellos están: La ponderación de la infracción intencional, el manejo de datos sensibles en forma irresponsable, la ausencia de medidas para mitigar perjuicios, la negligencia al atender los derechos de los titulares y la falta de colaboración con las autoridades.

Ello conduce a que las sanciones económicas fluctúen, manejando una diversidad de valores cuyo máximo es 2000 SMLV. Aquí se debe aclarar que sin perjuicio de las sanciones que acarrea una falla en la protección de los datos personales, siempre se presentará un daño directo al titular de dicha información, por tanto,  a nivel civil existe la posibilidad de pago de enormes indemnizaciones compensatorias, y a nivel penal se pueden producir las acciones punitivas que correspondan.

Así entonces, y después de analizar lo expuesto, se concluye que para evitar multas provenientes de fallos en la protección de datos personales se deben desarrollar procedimientos que impidan  las conductas sancionadas, en consecuencia para evitar infracciones intencionales se deben mejorar los procesos de entrenamiento de personal y la seguridad de la información, para manejar los datos sensibles en forma responsable se deberán crear políticas, asignar encargados, implicar procedimientos estrictos y resguardar la información con varios niveles de protección, para mitigar los incidentes se deben implementar procedimientos para el tratamiento de los mismos.

Para atender las solicitudes de los titulares de la información se deberán asignar áreas o personas responsables de esta labor, además se requerirá tener conocimiento actualizado de todo lo relacionado a la Ley de protección de datos personales, los decretos reglamentarios, y los requerimientos de los organismos de control, implementar los procesos mencionados asegurará que su empresa se mantenga en un ambiente de estabilidad legal, y desarrolle actividades que mejoran su desempeño y organización.