Analizando diferentes resoluciones de la Superintendencia de Industria y Comercio, relacionadas con infracciones a la Ley de Protección de Datos se puede verificar que, efectivamente las organizaciones acusadas vulneraron los derechos de los titulares de la información personal, además, se observa que existe un factor común en todos los procesos adelantados el cual se hace visible al examinar los argumentos de defensa dado que estos solo se centran en decir que los acusados tienen que ser declarados inocentes y que se les debe eximir tanto de responsabilidad como de multa debido a que era posible verificar que estaban implementadas las medidas exigidas por la Ley 1581 tales como disponer de políticas, de avisos de privacidad, de protocolos y de procedimientos para la protección de datos, pero en ningún momento hacen referencia a las afectaciones que cada titular de los datos relata en su denuncia, queriendo con esto evadir las reclamaciones presentadas por este último.
Si bien es cierto la Ley exige a los responsables del tratamiento de datos acciones para evitar que se produzca alguna vulneración de la privacidad a los titulares de la información, también lo es que se requiere un sistema de gestión que maneje los incidentes, que contenga sus efectos y que retroalimente a las diferentes áreas encargadas para que la situación no se vuelva a presentar o al menos se minimice su posibilidad de reincidencia. Y es en este último punto donde la mayoría de empresas fallan, pues consideran que es imposible que una incidencia ocurra, o no estiman analizar los riesgos en el tratamiento de la información y evaluar su impacto, generando así una brecha dentro de sus procesos la cual se hará totalmente visible durante las auditorías practicadas por la SIC.
Ningún proceso es perfecto por bien que esté diseñado, por tanto, antes de iniciar el tratamiento de datos personales es indispensable realizar un juicioso trabajo de evaluación de riesgos para así descubrir las afectaciones que le generarían a un titular el cometimiento de un error o la ocurrencia de una falla en los sistemas de seguridad que protegen tal información personal; dicho trabajo, que envuelve el diseño de una estrategia, la capacitación del personal encargado del tratamiento, la implantación de elementos de detección y evaluación de fallas, la implementación de protocolos de contención, corrección y recuperación de datos y el grupo de actividades post-incidente, necesita, sin lugar a dudas, de un mecanismo que informe tanto a los titulares como a la SIC sobre el acaecimiento de un suceso de violación de la privacidad. Este mecanismo, aunque incómodo, es verdaderamente necesario porque definitivamente ayudará a todas las partes involucradas a tomar medidas que eviten efectos dañinos y perjuicios al titular de la información.
Para entender el anterior concepto, imaginémonos una empresa que vende productos de algún tipo, dicha empresa fideliza a sus clientes manteniendo una excelente relación con ellos, ahora bien, por alguna razón en particular su red de datos fue “hackeada” con lo cual la información personal de cada cliente fue a parar a manos de delincuentes. En el desarrollo de los sucesos, los funcionarios encargados de los datos sienten miedo de ser despedidos o los responsables experimentan temor de que la organización pierda su reputación y sea sometida a algún tipo de sanción, por tanto, no informan ni a los titulares ni a la SIC sobre el acontecimiento, dejando así todo oculto.
Pues bien, momentáneamente parece que todo el suceso quedó enterrado sin afectar a nadie, sin embargo, los titulares comienzan a ser notificados de que han ganado un premio por su lealtad con la empresa, y para ganar su confianza se les enumeran los artículos que han comprado y se les enuncian sus datos privados, convenciéndolos así que acepten recibir a un mensajero en sus casas para que les pueda entregar el premio. De esta manera los delincuentes logran tener acceso a la vivienda de cada titular efectuando allí toda serie de delitos. Entonces ¿Qué fue lo que realmente sucedió allí?
La respuesta es simple, los encargados y/o responsables de los datos personales ocultaron la información del incidente y en lugar de resolver una situación de violación a la seguridad se hicieron partícipes de un ilícito, viéndose involucrados tanto en un proceso penal como en uno de tipo administrativo en donde la empresa para la que trabajan será sometida a una enorme multa por no disponer de mecanismos suficientes para proteger los datos personales, por no contar con un sistema de evaluación de riesgos, por carecer de protocolos de mitigación de fallas, y por ocultar un grave suceso de violación de la privacidad de sus clientes, así sea que todos esos mecanismos mencionados se encuentren perfectamente documentados, porque una cosa es lo escrito y otra lo que realmente se hace.
Lo anterior nos hace concluir que un sistema de gestión de protección de datos va más allá de reunir una serie de documentos que sirvan para mostrar que se tiene la intención de proteger los datos, y más bien involucra un conjunto de actividades que realmente se ejecutan y que envuelven el principio de la veracidad el cual siempre apunta a reconocer que una falla refuerza la credibilidad y prueba que la administración es práctica, realista y comprometida con sus responsabilidades. En resumen se debe tener en mente la frase ampliamente conocida: “rectificar es de sabios”.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
