Principales causas de sanciones y reclamos por protección de datos personales: 6 recomendaciones a tener en cuenta

Imagen: Riad, Saleh & Partners Law Firm – 2021 

La coyuntura generada por el COVID-19 ha transformado drásticamente la interacción social, incrementando el uso de plataformas digitales y el intercambio masivo de datos personales de todo tipo para sobrellevar el distanciamiento social, habilitar los esquemas híbridos de trabajo y dinamizar la oferta de bienes y servicios, que son ya parte de la nueva realidad para todos.
 
A lo largo de la pandemia, los medios por los cuales se intercambian datos personales han aumentado (sistemas de mensajería instantánea, redes sociales, programas de reuniones virtuales, etc.), así como también las razones del suministro de los datos (cumplimiento de protocolos de bioseguridad, videollamadas, etc.), y el valor de los mismos (creación de bases de datos, programas de fidelización, etc.).  El tratamiento masivo de los datos personales y la capacidad de la tecnología de recopilar muchos más datos es un tema que llegó para quedarse, y con ello, el avance en la regulación en respuesta a las preocupaciones por la privacidad.
 
A julio del 2020, el 62% de los países del mundo ya habían implementado legislaciones sobre tratamiento de los datos personales. En Colombia, tenemos legislación sobre el tratamiento de datos personales desde el año 2012 (y en habeas data financiero desde 2008). Conforme al análisis realizado por EY Law a las resoluciones sancionatorias emitidas por la Superintendencia de Industria y Comercio, aproximadamente el 52% de los titulares de los datos presentan reclamos por solicitud de supresión de sus datos y el 36% por estarse tratando sus datos sin contar con su autorización previa, expresa e informada.  Sobre las causas que han originado la imposición de sanciones, de acuerdo con el mismo análisis, aproximadamente el 47% de las sanciones se han impuesto por no contar con la previa autorización del titular o por no informarle las finalidades del tratamiento, el 16% por la no supresión del dato (cuando sí es procedente), el 14% por fallas en la seguridad de la información, el 12% por no contar con un manual de políticas y procedimientos, y el 11% por no atender reclamos y consultas en absoluto o no hacerlo dentro de los términos de ley. Aunque la autoridad nacional ha realizado campañas educativas respecto de la normativa en datos personales y ha estado vigilante de su cumplimiento en el país, aún nos falta un camino largo por recorrer frente al uso de datos personales. Si bien la protección de la privacidad es una iniciativa táctica de cumplimiento, también es hoy un imperativo estratégico para las compañías, como lo ha manifestado Ximena Zuluaga, socia líder de EY Law.
 
En el marco del Día Internacional de la Protección de Datos personales que se conmemora el próximo 28 de enero, EY Law desarrolló 6 recomendaciones principales para las empresas frente a la privacidad de los datos personales:
 
1. Cultura de cuidado: Las personas son cada vez más conscientes de sus derechos en lo que a sus datos personales se refiere, por lo que es importante que las compañías conozcan y apliquen sus deberes, den a conocer a sus empleados la importancia del cuidado de sus datos personales y los de sus clientes y proveedores. Como lo señala Ana María Castellanos, gerente de EY Law, la alta gerencia debe involucrarse, es un tema de cultura organizacional también.
 
2. Extra protección: Los responsables del tratamiento de datos personales deben solicitar y conservar siempre las autorizaciones otorgadas por los titulares, además de tener informarle debidamente las finalidades del tratamiento.  El tratamiento de los datos personales debe contar siempre con la seguridad necesaria para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado y fraudulento. Además, los datos sensibles deben tener una protección reforzada, por lo que las compañías deben tomar medidas adicionales al momento de recolectar, almacenar, circular y suprimir esta información, en condiciones de seguridad y confidencialidad. También se puede adoptar como buena práctica la anonimización de los datos.
 
3. La pandemia no es una excusa: El régimen de protección de datos personales mantiene su vigencia y cobra aún más importancia durante la pandemia, dada la necesidad de contar con información actualizada sobre el estado de salud de las personas para cumplir con los protocolos de bioseguridad. No se puede perder de vista que los datos sensibles tienen una protección reforzada, requieren un alto nivel de seguridad y están sujetos a una finalidad específica que delimita el tiempo de su tratamiento. Adicionalmente, la excepción de “urgencia médica o sanitaria” es de aplicación restrictiva y extraordinaria por lo que no aplica automáticamente solo porque el tratamiento se haga en el contexto de la coyuntura por COVID-19. 
 
4. Ojo, responda: Los responsables y encargados del tratamiento de datos personales deben dar una respuesta oportuna, completa y de fondo a los reclamos y consultas de los titulares, cumpliendo con los términos de ley.
 
5. Manos a la obra: La SIC es cada vez más minuciosa al investigar posibles infracciones en materia de datos personales, por lo que es importante que toda compañía dirija esfuerzos al cumplimiento de la normativa, haciendo un buen uso de los datos de sus clientes, proveedores y empleados, acatando las disposiciones de ley para mitigar sanciones. Entre agosto de 2019 a julio de 2020, la SIC impartió 1.328 órdenes administrativas por el régimen de protección de datos personales y habeas data financiero e impuso 119 sanciones por un monto de COP$11.902 millones de pesos -70 por Ley 1581 de 2012 y 49 por Ley 1266 de 2008-. Además, las infracciones en materia de datos generan daños a la reputación, a la marca y pérdida de credibilidad.
 
6. La tarea no termina: La protección de datos es un tema estratégico que debe involucrarse desde el día 1 en todos los nuevos productos y servicios que se ofrezcan y estrategias comerciales que se diseñen, independientemente del canal empleado. Es hoy un tema de ventaja competitiva y nuevas oportunidades de negocio. Por lo tanto, es un tema en constante evolución, y su efectividad se debe medir de manera continua, en la medida en que los negocios evolucionan, la legislación cambia y la cultura organizacional se adapta.