miércoles, noviembre 24, 2021

Protección de datos personales: ¿cómo prepararme ante una visita o investigación de la SIC?

 


Las visitas de la SIC pueden ser aleatorias.

Si no se cuenta con un oficial de protección de datos, se debe tener una persona obligada a dar respuesta en estos temas.

La entidad puede acceder a computadores y archivos. Si no se le otorgan los permisos, esto podría acarrear sanciones.

Heidy Balanta, abogada especialista en Derecho Informático y Nuevas Tecnologías y magíster en Derecho Económico, afirma en #CharlasConActualícese que Colombia es uno de los países donde más sanciones hay por violación de datos personales.

Frente a lo anterior, la Superintendencia de Industria y Comercio –SIC– permanentemente vigila el cumplimiento de la norma alrededor de este tema.

Advierte que la SIC podrá imponer a los responsables del tratamiento y encargados del tratamiento las siguientes sanciones:
Multas de carácter personal e institucional hasta de 2.000 salarios mínimos mensuales legales vigentes –smmlv– al momento de la imposición de la sanción, las cuales podrán ser sucesivas mientras subsista el incumplimiento que las originó.
Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la SIC.
Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.


¿Qué criterios se tienen en cuenta para para graduar las sanciones?

En este punto, Balanta enumera seis criterios:
La dimensión del daño o peligro a los intereses jurídicos tutelados por la ley.
El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción.
La reincidencia en la comisión de la infracción.
La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la SIC.
La renuencia o desacato a las órdenes impartidas por la SIC.
El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

Balanta, quien es la directora general de la Escuela de Privacidad, entrega una serie de recomendaciones para evitar sanciones:
Establecer un protocolo en caso de una visita de inspección

Explica lo siguiente:

Las visitas pueden ser aleatorias, por sectores. Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales.

La SIC puede pedir acceso a computadores, archivos y zonas; lo tiene permitido. Si no se otorgan los permisos, esto podría acarrear sanciones:

A través de un protocolo se identifican los errores que se pueden cometer en accesos físicos, en responsabilidades y en diversas variables, los cuales podrían minimizarse en la visita de la entidad.
Ser sinceros con la situación real de la organización

Muchas empresas mienten frente a su realidad, lo que puede afectar al momento de la imposición de multas. La sinceridad frente a las situaciones puede atenuar posibles sanciones.
Diferencias entre una orden administrativa y una sanción

No son lo mismo. «Las órdenes administrativas son como un aviso, una advertencia para corregir diversos aspectos. Todo el tiempo la SIC las emite y hay que hacerles caso. Son comunes las relacionadas con el registro nacional de base de datos», explica.
Conocer claramente la ley, brindar información sin contexto puede comprometerlo y aumentar la sanción

Las personas involucradas en este proceso deben conocer lo que indica la normativa. «Se debe contar con evidencias. Por ejemplo, saber en la empresa cuáles personas dan autorización para el uso de los datos personales. En esta situación debe haber una conducta expresa, inequívoca de dar el aval», dice.
Realizar auditorías periódicas en materia de protección de datos personales

Una auditoría es un síntoma de mejora en los procesos, porque permite tomar correctivos. «Todos los días como organización se están captando datos nuevos y hay que evaluar periódicamente con la recolección de estos, para que no se cometan errores», afirma Balanta.
Verificar que se cuente con procedimientos y políticas internas en materia de protección de datos
“Las organizaciones adolecen de un manual interno para el tratamiento de datos”

Las organizaciones adolecen de un manual interno para el tratamiento de datos. Es un elemento que se debe tener con los procedimientos de consulta y reclamos por datos personales:

Si no lo van a hacer, se puede integrar un sistema de preguntas, respuestas y reclamos por parte de cada empresa, para que el oficial de cumplimiento de datos lo tenga en cuenta.
Responder en los tiempos que indica la ley

La SIC da unos tiempos para que la organización se defienda y demuestre que se generaron los mecanismos de protección, pero muchas empresas guardan silencio, lo que representa una señal negativa, y se podrían ver afectadas y sancionadas:

Muchos de estos incumplimientos se presentan porque se envían las notificaciones, pero no hay monitoreo de estas y se pierde la oportunidad de defenderse.
Validar y actualizar la política de seguridad de la información

Aclara un aspecto importante:

Los datos personales tienen que ser protegidos, y la política de seguridad brinda precisamente eso: que personas sin autorización no vean los datos.

La SIC les pide a las empresas su política de seguridad de la información, la cual debe coincidir con lo reportado en el registro nacional de bases de datos.
Hoy, ¿por qué motivos está sancionando la SIC?

Para finalizar, Balanta afirma que hoy por hoy la SIC está sancionando por:
No solicitar autorización ni conservar copia de esta.
No conservar la información bajo condiciones de seguridad.
No tramitar las consultas y reclamos en los tiempos establecidos en la ley.
No informar al titular las finalidades de la información y los derechos que le asisten.


No hay comentarios.: