La Ley de Protección de Datos Personales ha venido transformando la forma en que las organizaciones en Colombia dan tratamiento a la información personal que llega a sus manos, haciendo entender que los datos ahora no son propiedad de las empresas sino de las mismas personas a quienes se les recopila.
Desde el momento de su promulgación, la misma Ley en conjunto con sus decretos reglamentarios ha clarificado conceptos que facilitan una gestión impecable a nivel organizacional, sin embargo, aún persisten altos niveles de incumplimiento. Según un estudio practicado sobre casi 33.600 empresas, tanto públicas como privadas, la Superintendencia de Industria y Comercio (SIC) encontró en el año 2021 que el 68,7% de tales empresas incumplían de forma reiterada diferentes parámetros exigidos para el tratamiento de datos; aquí entonces se debe recordar que existe un régimen sancionatorio que puede ocasionar el acceso a multas onerosas cuyo monto podría ascender a los 2000 SMMLV.
Si bien es cierto que toda infracción debe ser evaluada y analizada, esta no siempre conlleva una multa, pues se considera que la tarea de supervisión realizada por la SIC está más destinada a optimizar los procesos institucionales que a castigar a las organizaciones, ello en virtud a que lo que se busca es crear en los titulares una sensación de seguridad y de confiabilidad que les permita realizar sus actividades dentro de un universo de instituciones que obran correctamente.
Ahora bien, el hecho que la SIC no sea un ente castigador sino rector no significa que deje impune ciertas infracciones cometidas por las organizaciones, las cuales se consideran como peligrosas; es entonces cuando aparece un listado de faltas de gravedad que requerirán de sanción económica para así recordar a las empresas que es su obligación velar por la protección de los datos personales bajo su responsabilidad. Entre las faltas más graves están:
- No atender advertencias o requerimientos de la SIC; pues se considera que esa actitud es significado de desprecio hacia las normas establecidas.
- No atender las peticiones, quejas o reclamos de los titulares; pues se deduce que no se están valorando sus derechos, y que se considera que la posición de poder es superior a la de justicia.
- No respetar las limitaciones de tratamiento de datos. En este sentido se considera que la entidad abusa de su posición, tomando ventaja sobre el titular para obtener beneficios.
- Realizar transferencia de datos sin autorización. Aquí se debe tener en cuenta que toda organización que interactúa con personas requiere de datos personales, sin embargo, no se entiende qué beneficio trae transferir las bases de datos a otro.
- Menospreciar la seguridad dentro de la gestión del tratamiento. En este caso se considera que el acto de no disponer de barreras de seguridad significa que no se valora la información; por lo tanto, se concluye que la organización considera la Ley PDP como un simple un tecnicismo de fachada que no involucra procesos internos.
- No registrar las bases de datos en el Registro nacional de bases de datos (RNBD). En esta ocasión se plantea una obligación que no quiere ser asumida por la organización, razón por la cual se entiende que hay una desobediencia premeditada.
Recuerde que las faltas citadas pueden afectar gravemente las finanzas de su empresa, evítelas y comprométase con la protección de datos personales; es su deber y el derecho de los titulares de la información.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
