Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
24.424 organizaciones públicas y privadas que funcionan en Colombia no han puesto en marcha todavía ninguna política de protección de dato personales.
Según explica Javier Andrés Martínez, más que una clasificación de datos es relevante cómo estos afectan la intimidad de las personas.
La Superintendencia de Industria y Comercio –SIC – presentó los resultados del segundo Estudio de medidas de seguridad en el tratamiento de datos personales 2020, implementadas por 33.596 empresas y entidades públicas, que han registrado sus bases en el Registro Nacional de Bases de Datos –RNBD –.
A la entidad le preocupa que 24.424 organizaciones públicas y privadas no han puesto en marcha una política de protección para el acceso remoto a la información personal, lo que indica que no cuentan con mecanismos eficientes para proteger los datos de sus usuarios de accesos no autorizados o incidentes de seguridad.Además, 20.594 empresas no han implementado una política que regule el acceso a la información personal de las bases de datos con información sensible, es decir, no cuentan con las medidas necesarias para proteger los datos sensibles.
Como se indicó anteriormente, 33,596 organizaciones responsables del tratamiento de datos registraron sus bases de datos en la entidad desde el 2015 hasta el 30 de septiembre de 2020. Del total, 31.333 son empresas privadas (93,3 %) y 2.263 entidades públicas (6,7 %).
La SIC realizó 26 preguntas sobre seguridad en el formulario electrónico del RNBD respecto de las cuales cada organización responsable del tratamiento (empresa o entidad pública) solo debía manifestar sí o no.
Javier Andrés Martínez Flechas, abogado especialista en Reglamento General de Protección de Datos y oficial de cumplimiento certificado, explica en #CharlasConActualícese que la clasificación de los datos depende más de qué tanto estos afectan la intimidad de la persona.
«Por ejemplo, todos los datos relacionados con la salud de las personas son sensibles. Los datos financieros, por otra parte, son un poco menos sensibles. Hay datos públicos, semiprivados, privados y sensibles», describe.
Explica que muchas veces un dato público puede requerir el tratamiento de un dato sensible dependiendo del contexto social al que pertenece el individuo.
«La idea es contar con criterios para clasificar los datos y a partir de esto darles mayor aplicación o no del régimen de protección da datos. La seguridad, el consentimiento, el momento en que se debe dar a conocer la información, son factores a tener en cuenta para prevenir riesgos», advierte.
Sobre los resultados presentados por la SIC, Martínez Flechas dice que la protección de datos personales nos habla de una información que sí o sí está en las empresas.
«Las empresas están en mora de catalogar su información de forma general, determinar qué es público, privado y confidencial. En este ejercicio se toparán con datos que requieren procesos para protegerlos», advierte.
Sugiere, por ejemplo, realizar un inventario de las bases de datos con clasificación de los mismos y así evitar los riesgos en seguridad informática, porque todos los soportes de información que pasan por lo digital requieren de seguridad tecnológica.
Al comparar estos resultados con los de 2019, se encontró una mejoría del 12,73 % en el nivel promedio de cumplimiento de medidas de seguridad. No obstante, persiste un alto nivel de incumplimiento respecto de los ítems comparados en la tabla.
El estudio establece que todas las empresas y entidades públicas están obligadas a implementar las “medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.
También a “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.
Adicionalmente, deben ser capaces de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012.
Al respecto, el superintendente de Industria y Comercio, Andrés Barreto, reiteró la importancia de cumplir la Ley de Protección de Datos: “las entidades deben cumplir la ley de protección de datos especialmente en materia de seguridad, ya que sin esto será muy difícil tener la confianza de los ciudadanos, además que al tener problemas de seguridad también se pueden afectar los intereses de las empresas. En la SIC hay diferentes guías y herramientas que les ayudarán para que mejoren sus estándares de seguridad”, dijo.
Fundada en el año 2000 con la misión de “elevar el nivel profesional del Contador Público”
