• Juliana Ramírez Prado

sábado, 7 de marzo de 2015

José Alejandro Bermúdez Durana, superintendente delegado para la Protección de Datos Personales de la SIC, explicó  la  Ley que regula el Habeas Data, la cual se expidió en 2012,  implicó una serie de obligaciones a las entidades públicas y privadas responsables del tratamiento de la información.

Las sanciones tienen  multas hasta de 2.000 salarios mínimos legales vigentes y puede llegar a ordenar el cierre temporal o definitivo de un establecimiento.

“Esta norma designó a la SIC como autoridad nacional de protección de datos personales y por eso podemos dar ordenes  para el cumplimiento adecuado, estamos en capacidad de proferir instrucciones para hacer visitas a las empresas y podemos imponer sanciones altas. Por ejemplo, de 2010  a la fecha hemos colocado multas por $6.793 millones” dijo Bermúdez.

Entre las actuaciones más relevantes de la Delegatura  en 2014 se encuentran la multa impuesta a la sociedad American System Service S.A.S. por  $163 millones  al verificar que reportó información de los titulares sin contar con su  autorización y no informó a los operadores (centrales de riesgo) que la información se encontraba en discusión y finalmente, la empresa no inscribió la leyenda de reclamo en trámite o discusión judicial en las historias de crédito de los titulares.

La SIC también sancionó  a  la Cooperativa Multiactiva Universitaria Nacional con $129 millones porque no implementó medidas técnicas de seguridad al permitir que terceros accedieran a su red, sin ninguna restricción a los datos crediticios de sus titulares de cuenta.

Por otra parte, se multó a Redcord de Colombia S.A. con $123 millones  por el tratamiento sin autorizar de datos personales de salud con fines comerciales  para el ofrecimiento de su servicio, llamado: de preservación de las células madre del cordón umbilical.

Así mismo, mediante el oficio de 22 de enero de 2014, la SIC impartió una orden a la Corte Suprema de Justicia relacionada con la anonimización de datos sensibles de una menor de edad contenidos en una sentencia publicada en la página web y se dio una orden de bloqueo temporal al sitio web www.datajuridica.com , al advertir que la información sobre procesos judiciales publicada estaba desactualizada e inducía al error.

Frente a estos sucesos, Mauricio Jaramillo, socio y responsable del área de propiedad intelectual y competencia en la firma Gómez Pinzón Zuleta Abogados manifestó que este es un tema muy importante que se ha venido tratando recientemente y  que las empresas lo están tomando cada vez más enserio.

“Puntualmente, las firmas deben tener claras e informar las  políticas de manejo de la ejecución de los datos personales  de tal forma que cuando las empresas están en el ejercicio de la recolección se obtengan las autorizaciones por parte de los clientes  para así poder tratar  y administrar los datos  en función de sus necesidades, pues no es igual para todas las empresas porque no todas tienen el mismo volumen de tráfico de datos” dijo Jaramillo.

No se trata de sanciones más duras sino que los propios empresarios empiecen a entender el poder que tiene la información que manejan en las organizaciones y asimismo, los empresarios tomen medidas para tener los datos personales regulados.

Hay que tener en cuenta las siguientes recomendaciones de Bermúdez  a la hora de implementar un programa de estos a   cualquier compañía.

En primer lugar, hay que crear  la necesidad de tener un compromiso, dedicar la estructura requerida y designar a una persona la responsabilidad. La empresa tiene que establecer un mecanismo propio para incrementar las políticas de protección de datos personales. Luego de que la firma  ejecute un programa de  entrenamiento y capacitación para sus trabajadores,  genere un mecanismo para solucionar eficazmente las reclamaciones de titulares externos y no deje de realizar un monitoreo continúo de los procesos.

Andrés Felipe Ángel, abogado Máster en telecomunicaciones recuerda la importancia de la responsabilidad demostrada en las empresas.

“Se trata de un tema de autorregulación, donde yo como empresa puedo demostrar, en mayor medida que estoy cumpliendo al implementar procedimientos y capacitaciones  para que asimismo las sanciones por parte de la SIC,  puedan ser reducidas” aseguró Ángel.  Precisamente, en mayo la SIC lanzará en Medellín las guías para la implementación del principio de responsabilidad demostrada.

Lo que no aplica
La autorización para la utilización de datos personales no será  necesaria cuando se trate de  información requerida por una entidad  en ejercicio de sus funciones legales o por orden judicial, datos de naturaleza pública, casos de urgencia médica o sanitaria, tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos y datos relacionados con el Registro Civil de las Personas. Tampoco aplica para las bases de datos que contengan información periodística y otros contenidos editoriales y las  mantenidas en un ámbito exclusivamente personal.

Las opiniones

José A.Bermúdez
Superintendete delegado para protección de datos personales
“El programa que las empresas incluyan  en sus procesos debe hacerse a la medida de cada una de las firmas, pues de nada sirve que una empresa copie de internet unas políticas de tratamiento que otra entidad haya publicado, no van a responder a la realidad de la organización”.

Mauricio Jaramillo
Socio Gómez Pinzón Zuleta Abogados
“Las firmas deben tener claras cuáles son sus políticas de manejo de la ejecución de datos personales, de tal forma que cuando están en el ejercicio de la recolección de datos se obtengan las autorizaciones  para tratarlos y administrarlos en función de sus necesidades, pues para todas no es igual el manejo”.

Andrés Felipe Ángel
Abogado Master en telecomunicaciones
 “Lo fundamental es que las entidades reconozcan entre sus procesos dónde tratan información de carácter personal. Por ejemplo, si recursos humanos tienen datos sensibles del trabajador y si eso implica tomar medidas para que la información sea confidencial”.