Riesgo incumplimiento de la responsabilidad demostrada en el tratamiento de datos personales
QUE ES Y COMO IMPLEMENTAR EL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES EN NUESTRA ORGANIZACIÓN Parte 1
Continuamos con nuestra tarea de Investigar los Riesgos como nos indica uno de los objetivos del servicio de investigaciones en seguridad privada, esperando que el producto sirva de insumo para que los gestores de riesgo puedan de una manera mas acertada realizar su tarea, de importancia especialmente cuando de temas de legalidad obligatoria le competen a una organización.
Se ha creado una falsa seguridad del cumplimiento de la ley 1581 de 2012 que trata del Tratamiento de Datos Personales, al creer que simplemente con colocar una política respaldada por unos procedimientos, tener avisos de publicidad y nombrar un encargado o responsable de datos es suficiente. La realidad es otra, en caso que el ente de control realice un requerimiento sobre el incumplimiento de esta ley, le solicitara al posible infractor demostrar su responsabilidad, en ese momento veremos correr a ese encargado de datos de la organización preparando la información para responder el requerimiento y ni hablar si la visita de inspección es presencial.
Lo que debe tener la organización es un PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES, revisemos el porque y en que consiste.
En el artículo 26 del Decreto 1377 de 2013 (Reglamenta parcialmente la ley 1581 de 2012), el regulador introdujo en el sistema colombiano de protección de datos el criterio de la RESPONSABILIDAD DEMOSTRADA como una obligación en cabeza de los responsables del Tratamiento de Datos, de la misma manera se dispuso que los RESPONSABLES deben ser CAPACES de DEMOSTRAR a petición de la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO que han IMPLEMENTADO MEDIDAS APROPIADAS Y EFECTIVAS PARA CUMPLIR CON LAS OBLIGACIONES ESTABLECIDAS EN LA LEY 1581 DE 2012.
Es por esto que se debe contar con un PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES y estar preparados para demostrar a la autoridad la implementación efectiva de esas medidas en la organización.
La norma reglamentaria (decreto 1377 de 2013) establece que se deben adoptar teniendo en cuenta diversos factores que son propios de cada organización entre los que tenemos:
-Tamaño de la organización obligada
-Naturaleza jurídica del obligado.
-La naturaleza de los datos tratados por el obligado.
-El tipo de tratamiento al que se someta la información por el obligado.
-Los riesgos que implique para los titulares la recolección y posterior uso o circulación de esos datos.
No debemos olvidar que en el articulo 27 del decreto 1377 de 2013, dispuso que las politicas internas de los obligados a tratar los datos deberán GARANTIZAR:
-Que en la organización exista una ESTRUCTURA ADMINISTRATIVA proporcional a la estructura del responsable para implementarlas.
-Que se ADOPTEN mecanismos internos para poner en PRÁCTICA LAS POLITICAS que incluyan herramientas de IMPLEMENTACIÓN, ENTRENAMIENTO y PROGRAMAS DE EDUCACIÓN.
-La ADOPCIÓN de PROCESOS para la ATENCIÓN de reclamos y consultas de los titulares.
Entre los beneficios que brinda la ley al mostrarle al órgano de Control la implementación de la responsabilidad demostrada frente al tratamiento de los datos personales, como reconocimiento el inciso 27 del decreto 1377 de 2013 prevé expresamente que la “verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y politicas especificas para el manejo adecuado de los datos personales que administra un responsable, será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto”.
Esta disposición es especialmente relevante porque implica el reconocimiento expreso que debe hacer la autoridad de vigilancia frente a las organizaciones que estén en capacidad de demostrarle que en una eventual falla en el tratamiento de la información de un titular corresponde a una situación aislada dentro de un PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES, son limitados.
¿COMO DESARROLLAR EL PROGRAMA?
La adopción de politicas internas efectivas partes del desarrollo de un Programa Integral de Gestión de Datos Personales debe ser el resultado de la debida diligencia al interior de la organización que permita formularlo. Un programa efectivo debe incorporar politicas que:
- Respondan a los ciclos internos de gestión de datos de la organización.
- Generen Resultados medibles que les permitan probar ese grado de diligencia especial.
Para cumplir esto debemos:
1. COMPROMISO DE LA ORGANIZACIÓN
La organización debe contar con el compromiso de los sujetos obligados, derivado de una cultura de respeto a la protección de los datos personales que recoge o trata, se deben comprometer recursos económicos y de personal para desarrollar el Programa Integral de Gestión de Datos Personales, de la siguiente manera:
1.1. DESDE LA ALTA DIRECCIÓN
El apoyo y compromiso de la alta dirección es fundamental para generar una cultura organizacional de respeto a la protección de datos personales y es un paso que asegura que el programa se implemente exitosamente en todas las áreas, para lograr estos objetivos debe:
–Designar a la persona o al área que si que asumirá la función de protección de datos dentro de la organización.
–Aprobar y monitorear el Programa Integral de Gestión de Datos Personales.
–Informar de manera periódica a los órganos directivos sobre su ejecución, destinarse los recursos para que la persona o área encargada diseñar e implementar el programa a la realidad de la organización
-A través de esa persona o área se deberá establecer responsabilidades específicas para otras áreas de la organización respecto a la recolección, almacenamiento, uso, circularización y eliminación o disposición final de los datos personales que se tratan.
1.2. OFICIAL DE PROTECCIÓN DE DATOS
Su función principal es velar por la implementación efectiva de las politicas y procedimientos adoptados ´por la organización para cumplir con las normas, así como la implementación de buenas practicas de gestión de datos personales dentro de la organización. Esta persona además debe estructurar, diseñar y administrar el programa, que deberá evaluar y revisar de manera permanente, otras actividades son:
- Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
- Coordinar la definición e implementación de los controles del programa integral de gestión de datos personales.
- Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del programa integral de gestión de datos personales.
- Impulsar la cultura de protección de datos dentro de la organización.
- Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo.
- Registrar las bases de datos de la organización en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la SIC.
- Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
- Revisar los contenidos de los contratos de transmisiones internacionales de datos que suscriban con los encargados no residentes en Colombia.
- Analizar las responsabilidades de cada cargo de la organización para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.
- Realizar un entrenamiento general en protección de datos personales para todos los empleados de la organización
- Realizar el entrenamiento necesario a los nuevos empleados que tengan acceso por las condiciones de su empleo a datos personales gestionados por la organización.
- Integrar las politicas de protección de datos dentro de las actividades de las demás áreas de la organización.
- Medir la participación y calificar el desempeño en los entrenamientos de protección de datos.
- Requerir que dentro de los análisis de desempeño de los empleados se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos.
- Velar por la implementación de planes de auditoria interna para verificar el cumplimiento de sus políticas de tratamiento de la información de personal.
- Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC.
- Realizar seguimiento al Programa Integral de Gestión de Datos Personales.
1.3. PRESENTACIÓN DE INFORMES
Los sujetos obligados deben establecer mecanismos de información internos para reportar acerca del seguimiento y la ejecución del programa, además de la implementación de AUDITORIAS INTERNAS para verificar el cumplimento de las políticas y señalar el procedimiento a seguir en caso que se presenten violaciones a sus códigos de seguridad o detecten riesgos en la administración de la información de los titulares.
La información que sustente la implementación del Programa de Gestión de Datos Personales de la organización debe incluirse dentro de la información que es enviada a los accionistas o socios con el fin de mantenerlos informados, no debemos olvidar los elementos claves sobre esta presentación de informes internos como son:
- Definir de manera clara la estructura de la generación de reportes. Esto implica saber qué empleado genera qué tipo de reporte para asignar responsabilidades claras en el evento de una queja o de una violación a los códigos de seguridad.
- Documentar el proceso de generación de reportes como parte del Programa Integral de Gestión de Datos Personales.
- Generar reportes para los accionistas o socios de manera periódica e informar a estos el estado del Programa Integral de Protección de Datos Personales.
Con esto concluimos nuestra primera entrega de este documento. En la segunda parte abordaremos los Controles del Programa, los Procedimientos Operacionales, el inventario de las bases de datos con información personal, las políticas, el sistema de administración de riesgos asociados al tratamiento de datos personales, los requisitos de formación y educación, protocolos de respuesta en el manejo de violaciones e incidentes, gestión de los encargados del tratamiento en las transmisiones internacionales de datos personales, como es la comunicación externa y como ejecutar la evaluación y revisión continua para demostrar el cumplimiento.
Fuente: CARLOS A BOSHELL NORMAN