Actividades del oficial de privacidad de datos personales o líder del área quien haga sus veces
Responsabilidad Demostrada en el PROGRAMA INTEGRAL DE GESTIÓN DATOS PERSONALES
La semana pasada en la intervención del “Ciclo de conferencias mes del contador público), donde fui invitado amablemente por mi estimada amiga María María Janeth, con la ponencia “PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES-Evidencia de la responsabilidad demostrada ante un evento de violación de datos personales”, resaltando el soporte jurídico que éste tiene en el artículo 26 del Decreto 1377 de 2013 (Reglamenta parcialmente la ley 1581 de 2012), donde el regulador introdujo en el sistema colombiano de protección de datos el criterio de la RESPONSABILIDAD DEMOSTRADA como una obligación en cabeza de los responsables del Tratamiento de Datos, de la misma manera se dispuso que los RESPONSABLES deben ser CAPACES de DEMOSTRAR a petición de la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO que han IMPLEMENTADO MEDIDAS APROPIADAS Y EFECTIVAS PARA CUMPLIR CON LAS OBLIGACIONES ESTABLECIDAS EN LA LEY 1581 DE 2012, pero lo más relevante era las actividades que debe desarrollar el OFICIAL DE PROTECCIÓN DE DATOS, que si bien la ley abrió la posibilidad que algunas actividades de respuesta podrían quedar en cabeza de “Áreas” de la misma empresa, al momento de demostrar la responsabilidad en la implementación y eficacia de dicho plan ante las autoridades, termina en cabeza del gerente y/o director y/o jefe de dicha área, que en muchas ocasiones desconoce su responsabilidad y funciones normativas que le atañen a él, represéntate legal y máximo órgano directivo.
Pero antes de involucrarnos con las actividades del Oficial de Protección de Datos, hoy nos queremos referirnos a la Evaluación y Revisión Continua del Programa, se debe cumplir con dos actividades de la siguiente manera:
1. DESARROLLAR UN PLAN DE SUPERVISIÓN Y REVISIÓN
El Oficial de Protección de Datos debe desarrollar un plan de supervisión anual, donde debe tener en cuenta a partir del cumplimiento de los ocho (8) elementos operativos que hemos referido en las dos entregas anteriores:
- Compromiso de la organización
- Controles del programa integral de gestión de datos
- Políticas
- Sistemas de administración de riesgos asociado al tratamiento de datos personales
- Requisitos de formación y educación
- Protocolo de repuesta en el manejo de violaciones e incidentes a los datos personales
- Gestión de los encargados del tratamiento en las transmisiones internacionales de datos personales
- Comunicación externa
El objetivo de este Plan de Supervisión y Revisión, es garantizar su EFICACIA, muy seguramente evaluados en indicadores, en todos sus procesos, a partir de la Administración de los Riesgos de Datos Personales, en cumplimiento de unos objetivos que nos llevaran al cumplimiento de una política comprometida.
2. EVALUAR Y REVISAR CONTROLES DEL PROGRAMA
El Oficial de Protección de Datos debe ejecutar un monitoreo continuo, contestando como mínimo las siguientes preguntas que deberán estar evidenciadas:
- ¿Cuáles son las últimas amenazas y riesgos al tratamiento de datos personales detectados en su organización?
- ¿Los controles del programa están teniendo en cuenta las nuevas amenazas y reflejando las quejas más recientes o los hallazgos de las auditorias, o las orientaciones de la autoridad de protección de datos?
- ¿Se están ofreciendo nuevos servicios que involucran una mayor recolección, uso o divulgación de la información personal?
- ¿Se está llevando a cabo capacitación eficaz, se están siguiendo las políticas y procedimientos, y el programa se encuentra actualizado?
ACCIONES QUE DEBE DESARROLLAR EL OFICIAL DE PROTECCIÓN DE DATOS O QUIEN HAGA SUS VECES EN LA ORGANIZACIÓN
- Controlar y actualizar el inventario de información personal continuamente para identificar y evaluar nuevas recolecciones, usos y divulgaciones.
- Revisar las políticas siguiendo los resultados de las evaluaciones o auditorías.
- Mantener como documentos históricos las evaluaciones de impacto y las amenazas a la seguridad y riesgos.
- Revisar y actualizar, en forma periódica, la formación y la educación impartida a todos los empleados de la organización, como resultado de las evaluaciones continuas y comunicar los cambios realizados a los controles del programa.
- Revisar y adaptar los protocolos de respuesta en el manejo de violaciones e incidentes de seguridad para implementar las mejores prácticas o recomendaciones y lecciones aprendidas de revisiones posteriores a esos incidentes.
- Revisar y en su caso, modificar los requisitos establecidos en los contratos suscritos con los encargados del tratamiento.
- Actualizar y aclarar las comunicaciones externas para explicar las políticas de tratamiento de datos.
- Reportar semestralmente al representante legal de la empresa la evolución del riesgo, los controles implementados, el monitoreo y los avances y resultados del programa
Y por último el Programa Integral de Gestión de Datos Personales nos pide que debemos DEMOSTRAR SU CUMPLIMIENTO y esto lo podemos hacer además con las siguientes acciones:
- La implementación de las medidas citadas en la “Guía para la Implementación del Principio de Responsabilidad Demostrada” de la SIC.
- Se haya adoptado el Programa Integral de Gestión de Datos Personales acorde a los establecido en la ley 1581 de 2012 y el decreto 1377 de 2013.
- La SIC puede tener en cuenta la existencia e implementación del programa y las políticas al momento de evaluar la imposición de una sanción siempre y cuando el obligado pueda probar dicha implementación.
- Un programa bien estructurado le permitirá a la organización ser transparente con los titulares cuya información ha recogido, generando así confianza en el mercado.
Fuente: CARLOS ALFONSO BOSHELL NORMAN