¿Cómo el régimen sancionatorio impulsa el cumplimiento de la Ley de Protección de Datos Personales (PDP)?

La Ley en Colombia permite la imposición de sanciones sobre los infractores a las normas de Protección de Datos Personales, ello porque se considera que la sanción por sí misma es el mecanismo más eficiente para hacer cumplir la reglamentación. De hecho, las estadísticas muestran que las sanciones promueven con mayor fuerza el respeto a los derechos fundamentales; pues, sólo bajo el régimen sancionatorio es que las organizaciones priorizan, comprenden y  asumen sus responsabilidades de forma eficiente, además que obliga a entender que derechos como el de la intimidad personal y familiar o el de tener un buen nombre de ninguna manera pueden desconocerse.

Ahora bien, hasta aquí tan solo visualizamos la Protección de los Datos Personales centrándonos en el derecho individual; no obstante, ese no es el único enfoque que debe ser considerado; pues, la vulneración  a ese derecho también perjudica en forma generalizada a la sociedad. Una ilustración de lo anterior se logra al observar lo que sucede con una suplantación agravada con el delito de estafa; en este caso, personas diferentes al titular verían afectados su patrimonio y sus intereses económicos producto del uso ilegal de los datos personales de cierto individuo; es decir, el Titular no sería el único afectado y el daño colateral sería inmenso.

Por lo expuesto anteriormente se puede concluir que el régimen sancionatorio  no solo ponderará una mala conducta sino las consecuencias individuales y colectivas que esta genera; es decir, el castigo deberá corresponder tanto al acto cometido como al riesgo y al daño generado, siendo esa la razón por la cual la Superintendencia de Industria y Comercio (SIC), como ente regulador, nunca considerará un proceso sancionatorio como un simple trámite que resuelve una cuestión insignificante o de poca monta, sino que se más bien operará mediante análisis profundos que conduzcan a un conjunto de acciones encaminadas a prevenir la reincidencia y subsanar las consecuencias.

Dentro de sus investigaciones la SIC también evalúa  la intencionalidad de la  transgresión, determinando si ésta fue voluntaria y  si hubo desprecio por la implementación de las normas vigentes; pues de acontecer tal hecho, la mala conducta tendrá un agravante que irremediablemente conducirá a castigar con mayor severidad; y es lo anterior lo que nos permite comprender por qué la SIC se esfuerza en mantener el equilibrio dentro del régimen sancionatorio, ya que una mala interpretación de un contexto podría perjudicar gravemente a una organización o podría dejar impune el acto cometido sobre un titular por parte de la misma. 

Así las cosas, se hace necesario observar las consideraciones que usualmente la Superintendencia de Industria y Comercio tiene en cuenta al analizar una infracción:

• Tamaño del  daño o peligro sobre los intereses jurídicos de los Titulares: Con este factor se busca calificar la mala conducta evaluando el nivel de riesgo de afectación de derechos que experimentó el Titular, y si se materializó o no una afectación a este último. En el caso de producirse un daño, el ente regulador buscará establecer un nivel real del mismo (Alto, medio, bajo), para que así pueda calcular la sanción económica o administrativa.

• El beneficio económico obtenido por el infractor y los terceros que participaron en la infracción: En ocasiones la transgresión a la Ley no tiene el objetivo de hacer partícipe a la ciber-delincuencia del proceso, sino más bien busca alcanzar metas económicas y comerciales en las que se necesitan Datos Personales para lograrlo. En este caso el ente regulador evaluará los estados financieros de la organización para determinar el capital obtenido producto de un manejo indiscriminado e ilegal de los datos, promulgando entonces una multa graduada que puede ir hasta el total de los ingresos operativos menores a 2000 SMMLV. 

• La reincidencia en la comisión de la infracción: Aquí se evalúa el nivel de compromiso de la organización; pues, es muy diferente cometer un error y corregirlo, que ser reiterativo con malas conductas sucesivas. Este factor será un elemento multiplicador de la sanción.

• La resistencia, negativa u obstrucción a la acción investigadora: Existe un viejo y conocido refrán: “El que nada debe nada teme”, el cual aplica aquí muy bien; pues, no se entendería la razón para obstruir una investigación a menos que se tuviese algo que ocultar. La Superintendencia de Industria y Comercio, sin importar que no exista evidencia del cometimiento de una infracción en Protección de Datos Personales, siempre sancionará la  resistencia a la investigación. 

• La renuncia o desacato a cumplir las órdenes de la SIC: En este caso la SIC califica la diligencia con la cual las organizaciones obedecen las instrucciones del ente regulador, considerando que al desobedecer una orden directa se está despreciando las normas establecidas. Este factor es un amplificador de la sanción, y por sí mismo genera multa económica.

• El reconocimiento o aceptación sobre la comisión de la infracción antes de la imposición de una sanción: Este es un elemento atenuador de la sanción; pues, se considera que hay disposición de la organización de mejorar, aceptando sus errores y comprometiéndose a no cometerlos nuevamente. Por supuesto que la atenuación de la sanción a imponer solo será aplicable si tal aceptación se realiza antes que se emita una resolución.
•  El cumplimiento de  aspectos documentales y de gestión establecidos por la Ley: Aquí se evalúa internamente los procesos de la organización, verificando que los demás aspectos, diferentes al evaluado, cumplen con los requerimientos. Este factor surte como  amplificador de la sanción; pues, de encontrarse fallas en otras áreas de la organización el castigo impuesto será más contundente.

El artículo 23 de la Ley 1581 faculta a la Superintendencia de Industria y Comercio para imponer sanciones económicas y administrativas a discreción según la evaluación que ella haga de las infracciones cometidas, tal facultad sancionatoria tiene que ser considerada por las organizaciones cuando realicen Tratamiento de Datos Personales dentro de sus actividades; pues, gestionar sin medidas adecuadas y eficientes que aseguren los intereses de los Titulares de los Datos Personales las expone a multas y a cierres temporales o definitivos de su operación.