General

¿CÓMO SABER SI LAS PERSONAS NATURALES O JURÍDICAS, PÚBLICAS O PRIVADAS QUE POR SI MISMO O EN ASOCIO CON TERCEROS ESTAN CUMPLIENDO CON LA LEGISLACIÓN DEL TRATAMIENTO DE DATOS?

Como es sabido, todas las empresas privadas y entidades públicas están obligadas a  implementar  las  “medidas  técnicas,  humanas  y  administrativas  que  sean  necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o  acceso  no  autorizado  o  fraudulento”  y  a  “conservar  la  información  bajo  las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso  o  acceso  no  autorizado  o  fraudulento”.  Adicionalmente,  “deben  ser  capaces  de demostrar,   a   petición   de   la   Superintendencia   de   Industria   y   Comercio,   que   han implementado   medidas   apropiadas   y   efectivas   para   cumplir   con   las   obligaciones establecidas en la Ley 1581 de 2012”.

Las  conclusiones  surgen  de  la  información  suministrada  por  32,763  organizaciones Responsables  del  Tratamiento  de  datos  que  registraron  sus  bases  de  datos  ante  la Superintendencia de industria y Comercio (SIC), entidad, desde el año 2015 hasta el 18 de septiembre de 2019. De éstas, 31.410 son empresas privadas (95.8%) y 1.353 entidades públicas (4,1%). Estas fueron:

 

PRIMERO:  En  promedio,  tan  solo  el  34,5%  de  los  Responsables  del  Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 65,5% de las empresas y las entidades  públicas  no  han  implementado  medidas  apropiadas  y  efectivas  para garantizar la seguridad de los datos personales.

Únicamente 884 (2.7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.

 

SEGUNDO:  El   79%  de   las  organizaciones   no  han  implementado   una  política específica que regule el acceso a la información personal de las bases de datos con información sensible.

 

TERCERO:  El  88%  de  las  entidades  no  han  puesto  en  marcha  una  política  de protección para el acceso remoto a la información personal, y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.

 

CUARTO: El 82% de los Responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.

 

QUINTO:  El  71%  de  las  organizaciones  no  tiene  controles  de  seguridad  en  la tercerización de servicios para el tratamiento de la información personal. Se destaca que de ese 71%, tanto en el sector público como el privado, el 95,8% tienen Encargados de  Tratamiento,  es  decir,  han  tercerizados  servicios  en  el  Tratamiento  de  los  datos personales.

 

¿QUE DEBO VALIDAR Y VERIFICAR PARA SABER SI ESTOY CUMPLIENDO?

A continuación, se presentan las preguntas formuladas por bloques temáticos que deben contestar las personas naturales o jurídicas, públicas o privadas que por si mismas o en asocio    de    terceros    se    encarguen    de    RECOLECTAR,    ALMACENAR,    USAR, CIRCULARIZAR/SUPRIMIR  datos  personales,  con  el  fin  de  establecer  el  nivel  de cumplimiento ante la autoridad, estas son:

 

SEGURIDAD DE LA INFORMACIÓN PERSONAL:

➢  ¿Ha realizado documentación de procesos entorno a la seguridad de la información personal?

➢  ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información personal?

➢  ¿Ha  implementado  acuerdos  de  confidencialidad  con  las  personas  que  tienen acceso a la información personal?

➢  ¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal?

➢  ¿Tiene un documento de seguridad de la información personal o general aprobado?

 

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO:

➢  ¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral?

 

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL:

➢  ¿Cuenta  con  un  procedimiento  para  la  Gestión  de  usuarios  con  acceso  a  la información personal?

➢  ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible?

➢  ¿Tiene una política implementada de copia de respaldo de la información personal?

➢  ¿Ha  implementado  una  política  de  protección  para  el  acceso  remoto  a  la información personal?

➢    ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?

 

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL:

➢  ¿Tiene  implementados  controles  de  seguridad  de  la  información  durante  el mantenimiento (Control de cambios) de los sistemas de información personal?

➢  ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?

➢  ¿Las bases de datos con información personal poseen Monitoreo de consulta?

➢  ¿Tiene   implementado   un   procedimiento   que   contemple   la   definición   de especificaciones   y   requisitos   de   seguridad   de   los   sistemas   de   información personal?

 

PROCESAMIENTO DE INFORMACIÓN PERSONAL:

➢  ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y  procesamiento  de  la  información  personal,  para  garantizar  que  los  datos recolectados  y  procesados  sean  correctos  y  apropiados,  como  confirmación  de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?

➢  ¿Cuenta con un control de seguridad de información para la validación de datos de salida?

➢  ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?

➢  ¿Tiene  un  procedimiento  o  control  implementado  para  la  disposición  final  de  la información personal (supresión, archivo, destrucción, etc.)?

➢  ¿Cuenta   con  una   política  implementada  para  el   correcto   tratamiento   de   la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?

 

GESTIÓN DE   INCIDENTES   DE   SEGURIDAD   DE   LA   INFORMACIÓN PERSONAL:

➢  ¿Tiene  implementada  una  política  para  mejorar  la  seguridad  de  la  información personal a partir de los incidentes o vulnerabilidades detectados?

➢  ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?

 

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL:

➢  ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?

➢  ¿Tiene una política de auditorías de seguridad de la información personal?

 

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN:

➢  ¿Tiene  implementadas  herramientas  de  gestión  de  riesgos  en  el  tratamiento  de datos personales?

➢  ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?

 

Conclusiones:

 

  • Los Responsables  y  Encargados  de  tratamiento  de  datos  tanto  de  personas naturales/jurídicas, de carácter pública o privada que por sí mismos o en asocios con  terceros  NO  han  comprendido  que  la  norma  no  pide  tener  documentada solamente una política, un aviso de publicidad y un manual, esto conlleva a cumplir acciones de control, de monitoreo y de mejoramiento.

 

  • NO se debe caer en esa falsa seguridad de creer que se está cumpliendo cuando no se  ha  ejecutado  auditorias de  cumplimiento  para  saber el estado  en  que  se encuentran, mientras no pase nada todo estará bien, pero en el momento en que la autoridad lo requiera se puede caer en multas que van de  1 a 2.000 SMMLV, suspensión para recolectar datos personales y suspensión definitiva de la actividad comercial entre otras.

 

Oportunidad:

Realice  a  conciencia  la  validación  y  verificación  de  la  lista  de  chequeo  que  se  les compartió en este documento y cuantifique o califique el nivel de cumplimiento, en caso de ser necesario planee acciones para llevar el nivel de cumplimiento total.

Comparte:  CARLOS ALFONSO BOSHELL NORMAN