Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
Heidy Balanta advierte que las visitas por parte de la SIC pueden ser aleatorias.
Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales.
La entidad puede acceder a computadores y archivos. Si no le otorgan los permisos esto podría acarrear sanciones.
Heidy Balanta, abogada especialista en Derecho Informático y Nuevas Tecnologías, magister en Derecho Económico, afirma en #CharlasConActualícese que Colombia es uno de los países donde más sanciones hay por violación de datos personales.
Frente a lo anterior, la Superintendencia de Industria y Comercio -SIC- es una entidad que permanentemente vigila el cumplimiento de la norma alrededor de este tema.
Advierte que la SIC podrá imponer a los responsables del tratamiento y encargados del tratamiento las siguientes sanciones:
En este punto, Balanta enumera seis criterios tales como:
Balanta quien es la directora general de Escuela de Privacidad, entrega una serie de recomendaciones para evitar sanciones
«Las visitas pueden ser aleatorias, por sectores. Si no se cuenta con un oficial de protección de datos se debe tener una persona obligada a dar respuesta en estos temas de datos personales», explica.
La SIC puede pedir acceso a computadores, archivos, zonas; lo tiene permitido. Si no se otorgan los permisos esto podría acarrear sanciones.
«A través de un protocolo se identifican los errores que se pueden cometer en accesos físicos, en responsabilidades y en diversas variables, los cuales podrían minimizarse en la visita de la entidad», recomienda.
Muchas empresas mienten frente a su realidad, lo que puede afectar al momento de la imposición de multas. La sinceridad frente a las situaciones puede atenuar posibles sanciones.
No son lo mismo. «Las órdenes administrativas son como un aviso, una advertencia para corregir diversos aspectos. Todo el tiempo la SIC las emite y hay que hacerles caso. Son comunes las relacionadas con el registro nacional de base de datos», explica.
Las personas involucradas en este proceso deben conocer lo que indica la normatividad. «Se debe contar con evidencias. Por ejemplo, saber en la empresa cuáles personas dan autorización para el uso de los datos personales. En esta situación debe haber una conducta expresa, inequívoca de dar el aval», dice.
Una auditoría es un síntoma de mejora en los procesos, porque permite tomar correctivos. «Todos los días como organización se están captando datos nuevos y hay que evaluar periodicamente con la recolección de estos, para que no se cometan errores», afirma Balanta.
«Si no lo van a hacer, se puede integrar un sistema de preguntas, respuestas y reclamos por parte de cada empresa, para que el oficial de cumplimiento de datos lo tenga en cuenta», explica.
La SIC da unos tiempos para que la organización se defienda, demuestre que se han generado los mecanismos de protección, pero muchas de estas guardan silencio lo que representa una señal negativa, y se podría ver afectada y sancionada.
«Muchos de estos incumplimientos se presentan porque se envían las notificaciones, pero no hay monitoreo de estas y se pierde la oportunidad de defenderse», recomienda.
«Los datos personales tienen que ser protegidos y la política de seguridad brinda precisamente eso; que personas sin autorización vean datos», puntualiza. La SIC le pide a las empresas su política de seguridad de la información, la cual debe coincidir con lo reportado en el registro nacional de bases de datos.
Para finalizar, Balanta afirma que hoy por hoy la SIC está sancionando por:
Fundada en el año 2000 con la misión de “elevar el nivel profesional del Contador Público”
