Actualícese.com

Protección de datos personales: ¿cómo prepararme ante una visita o investigación de la SIC?

Heidy Balanta advierte que las visitas por parte de la SIC pueden ser aleatorias.

Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales.

La entidad puede acceder a computadores y archivos. Si no le otorgan los permisos esto podría acarrear sanciones.

Fecha de publicación: 13 de septiembre de 2021
Protección de datos personales: ¿cómo prepararme ante una visita o investigación de la SIC?
Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Heidy Balanta advierte que las visitas por parte de la SIC pueden ser aleatorias.

Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales.

La entidad puede acceder a computadores y archivos. Si no le otorgan los permisos esto podría acarrear sanciones.

Heidy Balanta, abogada especialista en Derecho Informático y Nuevas Tecnologías, magister en Derecho Económico, afirma en #CharlasConActualícese que Colombia es uno de los países donde más sanciones hay por violación de datos personales.

Frente a lo anterior, la Superintendencia de Industria y Comercio -SIC- es una entidad que permanentemente vigila el cumplimiento de la norma alrededor de este tema.

Advierte que la SIC podrá imponer a los responsables del tratamiento y encargados del tratamiento las siguientes sanciones:

  1. Multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos legales vigentes al momento de la imposición de la sanción, las cuales podrán ser sucesivas mientras subsista el incumplimiento que las originó.
  2. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
  3. Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la SIC.
  4. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

¿Qué criterios se tienen en cuenta para para graduar las sanciones?

En este punto, Balanta enumera seis criterios tales como:

  1. La dimensión del daño o peligro a los intereses jurídicos tutelados por la ley.
  2. El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción.
  3. La reincidencia en la comisión de la infracción.
  4. La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la SIC.
  5. La renuencia o desacato a cumplir las órdenes impartidas por la SIC.
  6. El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

Balanta quien es la directora general de Escuela de Privacidad, entrega una serie de recomendaciones para evitar sanciones

Establezca un protocolo en caso de una visita de inspección

«Las visitas pueden ser aleatorias, por sectores. Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales», explica.

La SIC puede pedir acceso a computadores, archivos, zonas; lo tiene permitido. Si no se otorgan los permisos esto podría acarrear sanciones.

«A través de un protocolo se identifican los errores que se pueden cometer en accesos físicos, en responsabilidades y en diversas variables, los cuales podrían minimizarse en la visita de la entidad», recomienda.

Ser sinceros con la situación real de la organización

Muchas empresas mienten frente a su realidad, lo que puede afectar al momento de la imposición de multas. La sinceridad frente a las situaciones puede atenuar posibles sanciones.

Diferencias entre una orden administrativa y una sanción

No son lo mismo. «Las órdenes administrativas son como un aviso, una advertencia para corregir diversos aspectos. Todo el tiempo la SIC las emite y hay que hacerles caso. Son comunes las relacionadas con el registro nacional de base de datos», explica.

Conocer claramente la ley, brindar información sin contexto puede comprometerlo y sancionar más

Las personas involucradas en este proceso deben conocer lo que indica la normatividad. «Se debe contar con evidencias. Por ejemplo, saber en la empresa cuáles personas dan autorización para el uso de los datos personales. En esta situación debe haber una conducta expresa, inequívoca de dar el aval», dice.

Realice auditorías periódicas en materia de protección de datos personales

“Las organizaciones adolecen de un manual interno para el tratamiento de datos”

Una auditoría es un síntoma de mejora en los procesos, porque permite tomar correctivos. «Todos los días como organización se están captando datos nuevos y hay que evaluar periodicamente con la recolección de estos, para que no se cometan errores», afirma Balanta.

Verifique que cuente con procedimientos y políticas internas en materia de protección de datos

Las organizaciones adolecen de un manual interno para el tratamiento de datos. Es un elemento que se debe tener con los procedimientos de consulta y reclamos por datos personales.

«Si no lo van a hacer, se puede integrar un sistema de preguntas, respuestas y reclamos por parte de cada empresa, para que el oficial de cumplimiento de datos lo tenga en cuenta», explica.

Responder en los tiempos que indica la ley

La SIC da unos tiempos para que la organización se defienda, demuestre que se han generado los mecanismos de protección, pero muchas de estas guardan silencio lo que representa una señal negativa, y se podría ver afectada y sancionada.

«Muchos de estos incumplimientos se presentan porque se envían las notificaciones, pero no hay monitoreo de estas y se pierde la oportunidad de defenderse», recomienda.

Validar y actualizar la política de seguridad de la información

«Los datos personales tienen que ser protegidos y la política de seguridad brinda precisamente eso; que personas sin autorización vean datos», puntualiza. La SIC le pide a las empresas su política de seguridad de la información, la cual debe coincidir con lo reportado en el registro nacional de bases de datos.

Hoy, ¿por qué motivos está sancionando la SIC?

Para finalizar, Balanta afirma que hoy por hoy la SIC está sancionando por:

  1. No solicitar autorización, ni conservar copia de la misma.
  2. No conservar la información bajo condiciones de seguridad.
  3. No tramitar las consultas y reclamos en los tiempos establecidos en la ley.
  4. No informar al titular las finalidades de la información y los derechos que le asisten.

Material relacionado