Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

¿De qué forma su empresa debe proteger los datos personales de clientes, empleados y proveedores?


¿De qué forma su empresa debe proteger los datos personales de clientes, empleados y proveedores?
Actualizado: 7 junio, 2019 (hace 5 años)

El abuso por parte de las empresas en el manejo de datos personales y el riesgo internacional que se genera por la circulación de estos son dos preocupaciones que tienen las personas que comparten su información. La SIC tiene un decálogo de recomendaciones que las compañías deben tener en cuenta.

En febrero de 2019 la Superintendencia de Industria y Comercio –SIC– presentó los ganadores del Primer concurso de ensayo universitario de protección de datos personales, así como una serie de conclusiones alrededor del tema.

“Se tiene la percepción del aprovechamiento indebido por parte de las empresas de los datos personales que se recolectan, a veces sin la autorización del ciudadano, para su usufructo, compartirlos o venderlos a otras entidades”

Una de las preocupaciones que existen es el posible abuso por parte de las empresas en el manejo de los datos. Se tiene la percepción del aprovechamiento indebido por parte de las empresas de los datos personales que se recolectan, a veces sin la autorización del ciudadano, para su usufructo, compartirlos o venderlos a otras entidades. Lo anterior, con el fin de generar más ingresos económicos, lo que ocasiona molestia en los usuarios por la llegada masiva de correos electrónicos, mensajes de texto o anuncios a sus redes sociales con información publicitaria que el usuario no ha autorizado.

«En este sentido, se pudo notar que hay poca información o engaño hacia los ciudadanos sobre las dobles intenciones en la captación de sus datos personales, pues algunos consideran que no es de mayor importancia resguardarlos, y por esa razón los entregan sin preocupación», indica la SIC.

Riesgo de circulación internacional de datos en masa

Otro tema que se observa es el riesgo que se genera por la circulación internacional de información en masa. «Es sabido que los grupos corporativos requieren que la información almacenada en sus bases de datos circule a nivel global sin trabas regulatorias para el desarrollo de su gestión. Debido a esto, la transferencia internacional de datos personales es una actividad cada vez más recurrente en el contexto actual de globalización, apertura y desarrollo tecnológico en el que nos encontramos», indica la SIC.

Según lo anterior, se entiende que los datos personales van y vienen indistintamente de un país a otro a través de la red, sin mayor control, regulación y seguridad, generando riesgos para los dueños, pues su accesibilidad se torna más fácil para hackers y delincuentes, debido a que se hace más difícil aplicar la regulación normativa de una autoridad nacional o local. Se recomienda que las empresas apliquen políticas serias en el cuidado de los datos, mediante controles y regulaciones internas en colaboración con el Estado, así como regular el acceso y el almacenamiento de datos en servidores públicos y privados que luego podrán pasar a organizaciones multinacionales, sin ningún control.

¿De qué forma una empresa debe proteger sus datos personales?

La SIC enumera en su página una serie de recomendaciones para que las empresas protejan correctamente los datos personales de sus clientes, empleados y proveedores:

  1. Al recolectar la información debe tener clara la finalidad y usos específicos que dará a los datos. Esto debe saberlo el titular de la información, quien debe dar su consentimiento de forma escrita, oral o mediante conductas que permitan inferir su autorización.
  2. Su organización debe contar con una persona o área responsable de la protección de datos personales, lo que permitirá incrementar los niveles de protección de la información y generar confianza entre los clientes.
  3. Implementar procedimientos eficaces de corrección o actualización de datos personales al interior de la organización. Se deben establecer procedimientos de atención de las PQRS.
  4. Dar a conocer a los empleados las políticas internas dispuestas para el tratamiento de la información personal. Como una alternativa, se sugiere una capacitación para los empleados.
  5. Realizar el inventario de las bases de datos con información de las bases de datos que contengan información personal en la organización y clasificarlo según criterios como información sensible, confidencial o pública.
  6. Identificar las etapas del procedimiento o actividad en las que se recolectan, almacenan, utilizan y circulan los datos personales dentro de la organización.
  7. Identificar los riesgos a los que se ven expuestos los datos de las personas en los procedimientos o actividades que realiza la empresa. Estos se deben medir según la posibilidad de ocurrencia y su impacto en caso de que se materialicen.
  8. Incluir cláusulas de confidencialidad y manejo de información personal en todos los contratos de la empresa.
  9. Usar un lenguaje claro y comprensible en las comunicaciones con los titulares, tanto para responder PQRS, como para informar derechos, políticas y programas implementados por la empresa.
  10. Contar con una persona o área en la empresa que maneje los incidentes o vulneraciones a los sistemas de información donde se gestionan datos personales.

Material relacionado

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,