¿CÓMO SABER SI LAS PERSONAS NATURALES O JURÍDICAS, PÚBLICAS O PRIVADAS QUE POR SI MISMO O EN ASOCIO CON TERCEROS ESTAN CUMPLIENDO CON LA LEGISLACIÓN DEL TRATAMIENTO DE DATOS?
Como es sabido, todas las empresas privadas y entidades públicas están obligadas a implementar las “medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” y a “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. Adicionalmente, “deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012”.
Las conclusiones surgen de la información suministrada por 32,763 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos ante la Superintendencia de industria y Comercio (SIC), entidad, desde el año 2015 hasta el 18 de septiembre de 2019. De éstas, 31.410 son empresas privadas (95.8%) y 1.353 entidades públicas (4,1%). Estas fueron:
PRIMERO: En promedio, tan solo el 34,5% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 65,5% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.
Únicamente 884 (2.7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.
SEGUNDO: El 79% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible.
TERCERO: El 88% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
CUARTO: El 82% de los Responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
QUINTO: El 71% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. Se destaca que de ese 71%, tanto en el sector público como el privado, el 95,8% tienen Encargados de Tratamiento, es decir, han tercerizados servicios en el Tratamiento de los datos personales.
¿QUE DEBO VALIDAR Y VERIFICAR PARA SABER SI ESTOY CUMPLIENDO?
A continuación, se presentan las preguntas formuladas por bloques temáticos que deben contestar las personas naturales o jurídicas, públicas o privadas que por si mismas o en asocio de terceros se encarguen de RECOLECTAR, ALMACENAR, USAR, CIRCULARIZAR/SUPRIMIR datos personales, con el fin de establecer el nivel de cumplimiento ante la autoridad, estas son:
SEGURIDAD DE LA INFORMACIÓN PERSONAL:
➢ ¿Ha realizado documentación de procesos entorno a la seguridad de la información personal?
➢ ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información personal?
➢ ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal?
➢ ¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal?
➢ ¿Tiene un documento de seguridad de la información personal o general aprobado?
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO:
➢ ¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral?
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL:
➢ ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?
➢ ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible?
➢ ¿Tiene una política implementada de copia de respaldo de la información personal?
➢ ¿Ha implementado una política de protección para el acceso remoto a la información personal?
➢ ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL:
➢ ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal?
➢ ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?
➢ ¿Las bases de datos con información personal poseen Monitoreo de consulta?
➢ ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información personal?
PROCESAMIENTO DE INFORMACIÓN PERSONAL:
➢ ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?
➢ ¿Cuenta con un control de seguridad de información para la validación de datos de salida?
➢ ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?
➢ ¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)?
➢ ¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL:
➢ ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?
➢ ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL:
➢ ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?
➢ ¿Tiene una política de auditorías de seguridad de la información personal?
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN:
➢ ¿Tiene implementadas herramientas de gestión de riesgos en el tratamiento de datos personales?
➢ ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?
Conclusiones:
- Los Responsables y Encargados de tratamiento de datos tanto de personas naturales/jurídicas, de carácter pública o privada que por sí mismos o en asocios con terceros NO han comprendido que la norma no pide tener documentada solamente una política, un aviso de publicidad y un manual, esto conlleva a cumplir acciones de control, de monitoreo y de mejoramiento.
- NO se debe caer en esa falsa seguridad de creer que se está cumpliendo cuando no se ha ejecutado auditorias de cumplimiento para saber el estado en que se encuentran, mientras no pase nada todo estará bien, pero en el momento en que la autoridad lo requiera se puede caer en multas que van de 1 a 2.000 SMMLV, suspensión para recolectar datos personales y suspensión definitiva de la actividad comercial entre otras.
Oportunidad:
Realice a conciencia la validación y verificación de la lista de chequeo que se les compartió en este documento y cuantifique o califique el nivel de cumplimiento, en caso de ser necesario planee acciones para llevar el nivel de cumplimiento total.
Comparte: CARLOS ALFONSO BOSHELL NORMAN
