ENCONTRANDO INFRACTORES DE LA LEY DE PROTECCIÓN DE DATOS
La ley 1581 de 2012, la cual protege los datos personales de los residentes en Colombia, faculta a la Superintendencia de Industria y Comercio (SIC) para sancionar a toda organización que incumpla alguna regla relacionada con tratamiento de información personal; se debe entender que todas las normas allí promulgadas, junto con las que se incluyen en el decreto reglamentario 1377 de 2013 y las que se establecen en las circulares de la SIC, son de obligatorio cumplimiento.
Así las cosas, aparece una pregunta: ¿Cómo se entera la SIC que una organización no está cumpliendo con lo ordenado por la Ley?
Generalmente esa situación acontece porque son las mismas organizaciones quienes se encargan de revelar tal incumplimiento y eso lo hacen a través de los siguientes cuatro errores:
1. No contestan a una petición, queja o reclamo de un Titular que quiere hacer valer sus derechos de protección a su privacidad o le dan una respuesta que no trasciende sus expectativas tanto en objeto como en tiempo. Tales errores no solo le generan un malestar al Titular, sino que lo obligan a presentar una queja ante en ente regulador para que sea este quien le ayude a resolverla, siendo en ese preciso momento cuando, producto de la investigación, salen a la luz uno o varios incumplimientos de la Ley.
2. Se produce una afectación de un cliente como consecuencia de una falla del bien o servicio que se le ha vendido. Aquí todo se tiene que observar bajo el amparo de la Ley 1480 de 2011 (Estatuto del Consumidor) y se debe tener en cuenta que no se investiga la falla del producto o el servicio sino, la afectación del cliente; por ejemplo, alguna persona adquiere un televisor el cual deja de funcionar dentro del período de garantía, dicha persona le solicita al vendedor el cambio o la reparación del producto y si eso no es posible la devolución del dinero pagado; sin embargo, el vendedor desatiende la solicitud, no le soluciona oportunamente el problema al cliente, afectándolo entonces económicamente.
Cuando eso sucede, el cliente usualmente se quejará y solicitará intervención de la SIC para que le ayude a resolver la situación, siendo este momento cuando los incumplimientos a la Ley 1581 se revelan; pues la misma SIC ordena practicar auditoría de todos los procesos internos de la organización que tienen que ver con los clientes, concluyendo generalmente que hay infracciones de todo tipo a las normas establecidas.
3. La operación de una organización responsable o encargada de los datos personales se ve afectada por las infracciones de otra que participa en sus procesos; por tanto, la primera tiene la obligación de reportar al infractor ante la SIC para que sea este ente quien investigue.
Entendamos lo anterior con un ejemplo de un fotógrafo que es contratado por un hotel para que capture videos de un evento que se realiza en uno de sus salones, el fotógrafo debe acatar instrucciones, debe hacer tomas selectivas de imágenes de acuerdo a las autorizaciones obtenidas por los participantes y debe guardar total confidencialidad de lo que grabe en el establecimiento; sin embargo, dicho fotógrafo no cumple lo acordado y publica las imágenes en su propio blog, perjudicando así el nombre y buena imagen del hotel. Esta situación obliga al contratante a denunciar al fotógrafo ante la SIC para que sea la institución quien haga las correspondientes investigaciones, ello sin perjuicio de hacer válidas las cláusulas penales y civiles que existan en el contrato.
4. Estando obligados a reportar en el RNBD la organización no lo hace. Esta situación es muy usual en Colombia y no solo implica ingresar a una lista negra de violadores de la norma de registro en la Superintendencia de Industria y Comercio, sino que tarde o temprano conllevará el ordenamiento de auditorías de la SIC para verificar la irregularidad presentada, lo cual conduce a develar diversas fallas e incumplimiento de las normas.
Se tiene que observar que, en los casos en que no hay involucrado un Titular generalmente la SIC emite una advertencia a la organización, con ésta le indica a la organización que puede existir una posible infracción, como podría ser cuando no se registran las bases de datos en la entidad correspondiente; y eso lo considera en vista que existiría la posibilidad que la entidad hubiese disminuido sus activos a menos de 100.000 UVT, con lo cual ahora ya no estuviera obligada a hacer el reporte. No obstante, dicha advertencia siempre debe ser tenida en cuenta, porque con ella se busca que se enmiende el curso de las acciones y se tomen medidas correctivas.
Por el contrario, cuando hay involucrado un Titular o cuando la infracción involucra un desacato a una advertencia o a un requerimiento previo necesariamente se genera una amonestación, elevándose dramáticamente las probabilidades de una sanción económica y una prohibición temporal o definitiva del procesamiento, la cual dependerá de la naturaleza, gravedad y duración de la infracción, del carácter doloso o negligente de la misma, de las medidas adoptadas para mitigar el daño sufrido por las personas y del grado de cooperación de la organización.
De todas maneras, se debe considerar que un caso de amonestación implica que, la organización deberá revisar todos sus procesos e implementar un sistema de gestión confiable y eficiente que proteja todos los datos de los titulares, so pena de plantear un desacato que definitivamente generará una sanción económica.
Todo lo anterior nos lleva a concluir una cosa: todo planteamiento organizacional debe establecer la necesidad de cerrar cualquier brecha en protección de datos y de eliminar las vulnerabilidades que pudiesen conducir no solo a multas sino al cierre de nuestras operaciones. ¡ Mucho cuidado con eso !
