Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Empresas deben demostrar que cumplen con la regulación y garantizan la protección de datos


Empresas deben demostrar que cumplen con la regulación y garantizan la protección de datos
Actualizado: 29 agosto, 2016 (hace 8 años)

Aquí hablaremos sobre...

  • ¿Qué parte de la ley debe satisfacer una empresa para cumplir y qué otra parte se puede seguir trabajando posterior a la inscripción de la base de datos, sin incumplir?
  • ¿Qué es lo mínimo necesario que debe realizar una empresa para cumplir la ley?
  • ¿Qué condición puede afectar más para que un dato personal tenga peso ante la ley, la frecuencia de su uso, el manejo o la característica del mismo?
  • ¿Cuál es el límite para que un dato deje de ser relevante para no tenerlo en cuenta ante la Ley de Protección de Datos Personales?
  • ¿Es necesario crear un documento o una política por cada tipo de dato personal que maneja una empresa o se puede reunir en un solo documento?
  • ¿Aplicar la Ley de Protección de Datos significa que se debe contratar más personal para implementarla y mantenerla?
  • Con la inscripción en el Registro Nacional de Bases de Datos de la base de datos de una empresa y el reporte de las políticas del tratamiento de la información, ¿se podría decir que esta cumple con lo solicitado? ¿Qué más tiene que hacer la empresa?
  • ¿Se pueden comprar bases de datos de personas para utilizarlos con fines de comercio o publicidad?

María Alejandra de los Ríos Rueda y Enrique Álvarez Posada de Lloreda Camacho & Co afirman que la obligación de registro de las bases de datos ante el Registro Nacional de Bases de Datos Personales es tan solo una de muchas obligaciones que las empresas deben cumplir para aplicar las regulaciones de protección de datos.

¿Qué parte de la ley debe satisfacer una empresa para cumplir y qué otra parte se puede seguir trabajando posterior a la inscripción de la base de datos, sin incumplir?

Una gran parte de la ley debe ser cumplida a fin de poder realizar el efectivo registro; de lo contrario no es posible ejecutar el registro adecuado de las bases de datos. No obstante, un aspecto en el que pueden trabajar las empresas con posterioridad al registro es la implementación de medidas de seguridad y del principio de responsabilidad demostrada, a fin de poder ofrecer una mayor claridad a la forma en que se tratan los datos y a la protección que se le da a los mismos. Por ejemplo, las empresas podrán implementar con posterioridad medidas de seguridad más fuertes, o accesos a los datos más restringidos que permitirán garantizar la seguridad de los mismos.

¿Qué es lo mínimo necesario que debe realizar una empresa para cumplir la ley?

No existen requerimientos mínimos; es necesario cumplir todo lo que establece la regulación en materia de protección de datos. Ahora bien, hay algunos aspectos más relevantes que otros, tales como que las compañías tengan claridad sobre las bases de datos que estén manejando, así como también respecto de los datos que se están administrando. De tal manera, es de la mayor importancia que se cuente con la política de privacidad y/o protección de datos personales, y obtener las autorizaciones para el tratamiento de dichos datos.

¿Qué condición puede afectar más para que un dato personal tenga peso ante la ley, la frecuencia de su uso, el manejo o la característica del mismo?

Todos los datos personales son iguales ante la ley; no obstante, los datos de niños, niñas y adolescentes, así como los datos sensibles –aquellos relacionados con el origen étnico, orientación política, convicción filosófica o religiosa, pertenencia a sindicatos, organizaciones sociales o de derechos humanos, los relativos a la salud y a la vida sexual o los biométricos– gozan de especial protección y la ley establece mayores requerimientos para poder realizar su tratamiento.

¿Cuál es el límite para que un dato deje de ser relevante para no tenerlo en cuenta ante la Ley de Protección de Datos Personales?

La aplicación de la regulación en materia de protección de datos aplica para todos los datos personales; es decir, en palabras de la ley para “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Existen algunos datos personales respecto de los cuales no será necesaria la autorización, aunque sí el cumplimiento de las demás disposiciones, de tal forma que es importante reiterar que las normas aplican para todos estos datos y que no existe un límite para que alguno sea o no tenido en cuenta por la Ley de Protección de Datos; en la medida en que sea dato personal le serán de aplicación todas las disposiciones.

¿Es necesario crear un documento o una política por cada tipo de dato personal que maneja una empresa o se puede reunir en un solo documento?

Existen compañías que cuentan con políticas independientes para cada una de sus bases de datos, o por ejemplo que poseen políticas generales para el tratamiento de datos y otras que son aplicables a los datos recolectados en páginas web. Lo importante es que dichas políticas cumplan al menos con los siguientes requisitos: i) incluir la identificación del responsable: razón social, domicilio, dirección, correo electrónico y teléfono; ii) identificación del tratamiento y finalidad a la que serán sometidos los datos; iii) derechos de los titulares; iv) identificar a la persona o área responsable para la atención de consultas o del ejercicio de los derechos; v) procedimiento para el ejercicio de los derechos; y vi) fecha de entrada en vigencia.

¿Aplicar la Ley de Protección de Datos significa que se debe contratar más personal para implementarla y mantenerla?

No necesariamente. La regulación no busca generarle más cargas de personal a la compañía, pero sí es necesario que una persona de la entidad, por ejemplo el representante legal, el oficial de cumplimiento, el administrador, o cualquier otro se haga cargo de la implementación y cumplimiento de las obligaciones en materia de protección de datos personales.

Con la inscripción en el Registro Nacional de Bases de Datos de la base de datos de una empresa y el reporte de las políticas del tratamiento de la información, ¿se podría decir que esta cumple con lo solicitado? ¿Qué más tiene que hacer la empresa?

El registro de las bases de datos ante el Registro Nacional de Bases de Datos Personales es una de las muchas obligaciones que las empresas deben cumplir para aplicar las regulaciones de protección de datos.

“el registro es tan solo una parte del cumplimiento, pero en general las empresas deben poder demostrar que efectivamente cumplen con la regulación y que tienen mecanismos adecuados que garantizan la protección de datos”

Así pues, es necesario que constantemente se garantice la seguridad y confidencialidad de la información, que se asegure a los titulares el ejercicio de sus derechos, que se obtengan las autorizaciones para el tratamiento de datos y demás obligaciones consagradas en la regulación local. En este sentido, es de resaltar que el registro es tan solo una parte del cumplimiento, pero en general las empresas deben poder demostrar que efectivamente cumplen con la regulación y que tienen mecanismos adecuados que garantizan la protección de datos –manuales de seguridad y confidencialidad, procedimientos para el acceso a datos, entre otros–.

Adicionalmente, cabe resaltar que el registro debe ser actualizado de manera anual, y que en todo caso cada vez que exista un cambio sustancial en la base de datos, relacionado por ejemplo con la finalidad del tratamiento o los encargados de los datos, las medidas de seguridad de la información, la transferencia y transmisión internacional, se deberá realizar la actualización correspondiente.

¿Se pueden comprar bases de datos de personas para utilizarlos con fines de comercio o publicidad?

Si bien la regulación no es clara en este aspecto ni contiene una disposición que prohíba tales operaciones, es importante resaltar que los datos personales son única y exclusivamente propiedad del titular de los datos. Adicionalmente, a fin de obtener los datos de una persona es necesario contar con la autorización, clara, previa y expresa en donde se incluyan las finalidades del tratamiento, las cuales bajo ninguna circunstancia pueden ser generales o poco claras, de tal forma que para poder “vender” una base de datos se necesitaría que cada titular hubiese autorizado de manera expresa a venderla a un tercero determinado. En este sentido, es claro que no es adecuado adquirir bases de datos para fines comerciales o de publicidad, toda vez que esto requeriría de una autorización expresa del titular de los datos, que normalmente las empresas que ofrecen estos servicios no tienen.

Material relacionado

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,