En cualquiera de los casos, desde
el momento de la recolección hasta la eliminación de la información personal,
se requiere por parte de las organizaciones la implementación de medidas
apropiadas y efectivas que den cumplimiento a la ley 1581 de 2012 y sus
decretos reglamentarios en aspectos tan fundamentales como por ejemplo el de la
seguridad de la información personal.
Y esto es importante señalarlo,
ya que la Superintendencia de Industria y Comercio como entidad que ejerce el
control, la inspección, vigilancia y como responsable de procesar y administrar
el Registro Nacional de Bases de Datos RNBD, señaló en su segundo informe anual
que de las empresas y entidades que registraron sus bases de datos en el RNBD
desde el 2015 hasta el 30 de septiembre de 2020, en total son 33.596 que se
estudiaron, de esas el 72.7% no han implementado una política de protección para
el acceso remoto a la información personal, lo cual facilita eventualmente el
acceso de terceros no autorizados a información personal, lo que daría pie a incidentes
de seguridad; es decir, a intrusiones no
autorizada a información que se encuentra en posesión de la organización. El
estudio también indica que el 61.3% de organizaciones no tienen implementado
una política que regule el acceso a la información sensible, datos personales
que por su naturaleza y contenido deben tener medidas de seguridad adecuadas,
útiles y efectivas; con el fin de proteger la información que en ellas reposa,
como por ejemplo información relacionada con el estado de salud las personas, su
vida sexual, la orientación política, bases de datos que contengan información
biométrica etc.. (art. 5 Ley 1581).
El estudio refleja el panorama
actual de las organizaciones frente a las medidas de seguridad que implementan
las organizaciones al momento de realizar tratamiento de datos personales y es
una radiografía nacional que le permite a la Superindustria medir y monitorear el
cumplimiento de las obligaciones por parte de los Responsables y Encargados que
tienen bajo su tenencia información personal de los colombianos. La
superintendencia como entidad que protege el derecho constitucional de habeas, mediante
el RNBD fundamenta su estudio con un enfoque basado en los riesgos que
representa para los titulares, el hecho de que una empresa o entidad no
implemente lo necesario para proteger el activo por excelencia de una
organización los datos personales; esto genera un reto mayúsculo que deben
atender los Responsables y Encargados en la operación y gestión de la información
personal en la organización.
En aras de aterrizar este
lenguaje que aunque hace unos años parecería abstracto o lejos, ya es una
realidad que merece toda atención por parte no solo de los titulares que son
las fuente de la cual se nutren los bancos de datos de entidades públicas y
privadas sino, también de las organizaciones que poseen la información;
entender que son solo tenedores de algo muy preciado como es la información
personal de sus clientes, empleados y proveedores les debe generar mayor
compromiso e inversión monetaria real al momento de evaluar e implementar las
estrategias corporativas para proteger este nuevo bien jurídico denominado “Datos
Personales” señalado en el artículo 269F de la ley 1273 de 2009.
Para no remar o indagar en solo conceptos quién de ustedes en estos últimos meses no ingresó o accedió a los diferentes servidores y plataformas del trabajo para cumplir con sus obligaciones, es bueno preguntarnos ¿cómo lo hicieron? mediante computadores asignados por la organización? utilizaron VPN (Red Privada Virtual)? ¿Cuentan los Pcs remotos con el antivirus corporativo? ¿han recibido capacitación sobre protección de datos personales y su adecuado tratamiento? ¿cuáles son las herramientas tecnológicas que utiliza la organización para el trabajo remoto? ¿son las adecuadas para la categoría de datos que poseen? ¿tiene la organización una política de seguridad de la información y de gestión de incidentes?, ¿realiza monitoreo preventivo a la información personal con el fin de detectar brechas o huecos de seguridad?, solo por señalar algunas preguntas. Espero este blog sea de gran utilidad para las organizaciones y personas que en atención a sus funciones diariamente realizan tratamiento a la información personal de titulares. ¿Ustedes cómo protegen la información personal que administran?.
Click Aquí para acceder al estudio de la Superintendencia.
