Programa de gestión de datos personales: más que un deber, una necesidad para las empresas

PUBLICACION - MEDELLÍN -> 2019-06-28

Recientemente, la Superintendencia de Industria y Comercio (SIC) multó y sancionó al Banco Falabella y a Rappi por no cumplir con ciertas obligaciones como responsables del tratamiento de datos personales según el régimen de Protección de Datos Personales




La SIC no solo impuso cuantiosas multas (entre 360 y 600 SMLMV), sino que además ordenó a estas dos compañías adoptar medidas que respeten los derechos de las personas respecto del tratamiento de su información, y las conminó a adoptar una serie de medidas efectivas, apropiadas y verificables, que garanticen los derechos de los titulares.

A comienzos de este año, la SIC también requirió a Facebook, ordenándole adoptar medidas para garantizar la seguridad de los datos personales de más de 31 millones de colombianos usuarios de dicha red social digital. En dicho requerimiento el ente de vigilancia y control precisó medidas apropiadas, útiles, eficaces y demostrables para cumplir con el principio y deber de seguridad de los datos de los colombianos.

La SIC ha reiterado en distintos pronunciamientos, que la protección de datos personales es un derecho constitucional y fundamental en Colombia. Así las cosas, las medidas de seguridad que no reúnan las características mencionadas o que incumplan los objetivos señalados, ponen en riesgo algunos derechos humanos y convierten el tratamiento de datos personales en una actividad indebida e inconsistente con los mandatos constitucionales y legales.

Lo anterior deja entrever las expectativas de la SIC y del Estado colombiano frente la protección de datos personales, pues se advierte un claro enfoque dirigido a la implementación de medidas y políticas apropiadas, útiles, efectivas y verificables, en pro de una cultura de respeto por la protección de los datos personales, capaz de demostrar la responsabilidad y el cumplimiento de los principios y derechos de los titulares a través de un programa de protección de datos personales, diseñado a la medida de cada organización, tal como lo indica el artículo 26 del Decreto 1377 de 2013, norma que reglamenta la Ley 1581 de 2012: “Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 (…)”

Según decisiones de la SIC y el marco jurídico que las respalda, es claro que las organizaciones están obligadas a la implementación de un programa de gestión de datos personales acorde a su tamaño, naturaleza del negocio y el tipo de información que manipulan, y que dicho programa debe incluir etapas y procesos de seguimiento, control, evaluación y revisión continuas.


Por Juliana Múnera, Abogada Asociada de la Oficina de Medellín