General

Riesgo incumplimiento de la responsabilidad demostrada en el tratamiento de datos personales

FUNDAMENTOS BÁSICOS DEL COMO IMPLEMENTAR EL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES EN NUESTRA ORGANIZACIÓN Parte 2

Continuando con los aspectos básicos que debe tener un Programa Integral de Gestión de Datos Personales para las empresas, debemos desarrollar un segundo paso , y contando que la organización, una vez adelantado el proceso de debida diligencia interna (que les ha servido para comprometerse con la implementación de un esquema basado en estándares de responsabilidad demostrada), y es el de desarrollar y poner en marcha controles que le permitan al oficial de protección de datos o al área encargada, seguir con el desarrollo del Programa Integral de gestión de Datos Personales. Los controles ayudan a asegurar que las políticas adoptadas se implementen al interior de cada sujeto obligado, estos son:

1.      PROCEDIMIENTOS OPERACIONALES

La empresa que implemente un programa basado en esquemas de responsabilidad demostrada debe desarrollar e implementar procedimientos administrativos consistentes con las políticas generales de protección de datos y con las disposiciones legales vigentes de forma que pueda manejar adecuadamente los riesgos inherentes al tratamiento de información personal dentro de las actividades de gestión operacional.

2.      INVENTARIO DE LAS BASES DE DATOS CON INFORMACIÓN PERSONAL

Los sujetos obligados deben conocer que datos personales almacenan, cómo los utilizan y si realmente los necesitan, teniendo en cuenta la finalidad para la cual los recolectan.

  • Es importante en qué etapa del proceso o de la actividad se obtienen los datos, si deben solicitar la autorización del titular y de ser así, si están conservando prueba de la misma.
  • En los casos en los que recolecten datos personales sensibles o datos de niñas, niñas y adolescentes es necesario implementar las medidas adecuadas para garantizar una protección reforzada de dicha información. Debe asegurarse de que se esté informando al titular o a quien corresponda que NO existe obligación de suministrar tales datos.

Es importante tener en cuenta que una clasificación de la información recopilada por la organización, como por ejemplo sensible, privada, semiprivada y pública, según el caso, ayuda a tener un inventario efectivo de los datos tratados.

3.      POLÍTICAS

Deben estar documentadas, de obligatorio cumplimiento y que establezcan reglas sobre los siguientes puntos:

  • La recolección, almacenamiento, uso, circulación y supresión o disposición final de la información personal, incluyendo los requisitos para obtener la autorización de los titulares.
  • El acceso y corrección de los datos personales
  • La conservación y eliminación de información personal.
  • El uso responsable de la información, donde se afirme que conoce a suficiencia la política de la empresa, se acepta y se permite a la organización utilizar dicha información de forma responsable.
  • Presentación de quejas, denuncias y reclamos.

Además, se deben igualmente incluir en la política  elementos  que permitan cumplir con las normas de protección de datos.

4.      SISTEMA DE ADMINISTRACIÓN DE RIESGOS ASOCIADOS AL TRATAMIENTO DE DATOS PERSONALES

Acorde a la estructura de la organización, sus procesos y procedimientos internos asociados al tratamiento de datos personales, la cantidad de bases de datos y tipo de datos personales tratados, se debe implementar un sistema que le permita identificar, medir, controlar y monitorear todos aquellos hechos que puedan incidir en la debida administración del riesgo a que se está expuesto y debe tener en cuenta las siguientes etapas:

  • Identificación: Establecer riesgos a los que se vean expuestos los datos personales en desarrollo de su tratamiento, documentar los procesos y procedimientos que se implementen dentro del ciclo de vida de los datos personales, definir la metodología de identificación del riesgo asociado al tratamiento de información personal e identificar los riesgos e incidentes ocurridos respecto de este tipo de información en los casos que aplique.
  • Medición: La medición tiene por objeto determinar la posibilidad de ocurrencia de los riesgos relacionados con el tratamiento de datos personales y su impacto en caso de materializarse.
  • Control: Son las acciones que se deben tomar para controlar y/o mitigar los riesgos a que se ven expuestos los datos personales, es preciso establecer, al menos, si son suficientes, efectivos y oportunos, como también identificar el tipo, si son manuales, automáticos, discrecionales, obligatorios, preventivos o correctivos.
  • Monitoreo: Se debe hacer un seguimiento constante para velar porque las medidas que se hayan establecido sean efectivas. Para este efecto es importante desarrollar las acciones como son la de contemplar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en la administración de los riesgos identificados. Establecer indicadores que evidencien la efectividad del sistema de administración de riesgo adoptado. Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente. Asegurar que los riesgos residuales se encuentren en niveles de aceptación establecidos y llevar un registro de incidentes que contemple cual base de datos fue comprometida, titulares, fecha del incidente y de descubrimiento, acciones correctivas realizadas y responsables. Los sujetos obligados deben evaluar los riesgos periódicamente e implementar estas evaluaciones en toda la organización dentro de cada nuevo proyecto que involucre datos personales.

5.      REQUISITOS DE FORMACIÓN Y EDUCACIÓN

Un componente fundamental para implementar un Programa Integral de Gestión de Datos Personales está en la formación y educación de todos los empleados de la organización. Se debe impartir una formación de carácter general sobre la materia y para el personal que maneje los datos personales directamente, deberá existir una actualización periódica del contenido del programa, dentro de los contratos que suscriban los colaboradores es importante incluir acuerdos de cumplimiento de las políticas internas adoptadas por los sujetos obligados.

6.      PROTOCOLOS DE RESPUESTA EN EL MANEJO DE VIOLACIONES E INCIDENTES

Las violaciones a los códigos de seguridad de las organizaciones generan un altísimo riesgo para los titulares de la información y son causantes en muchos casos de impactos significativos a la reputación corporativa. Se hace necesario que los sujetos obligados cuenten con un procedimiento y una persona o área responsable de manejar los incidentes o vulneraciones a los sistemas de información donde se gestionan datos personales y los archivos físicos. Así mismo se prevean los mecanismos para rendir informes internos y reportar los incidentes a los titulares y a la superintendencia de industria y comercio.

De igual manera es importante que las organizaciones implementen mecanismos que les permitan comunicarse de manera eficiente con los titulares afectados para:

  • Informarles sobre el incidente de seguridad relacionado con sus datos personales y las posibles consecuencias.
  • Proporcionar herramientas a dichos titulares afectados para minimizar el daño potencial causado.

Los incidentes que se refieren a cualquier evento en los sistemas de información o bases de datos manuales o sistematizadas, que atente contra la seguridad de los datos personales en ellos almacenados. La ley 1581 de 2012 no hace distinción alguna respecto a los incidentes que deben ser reportados a la Superintendencia de industria y Comercio, por lo que independiente de su impacto, deben reportarse a esta entidad todos los incidentes ocurridos, como mínimo debe informarse el tipo de incidente, la fecha en que ocurrió y la fecha en la que se tuvo conocimiento del mismo, la causa, el tipo de datos personales comprometidos y la cantidad de titulares afectados.

7.      GESTIÓN DE LOS ENCARGADOS DEL TRATAMIENTO EN LAS TRANSMISIONES INTERNACIONALES DE DATOS PERSONALES

Los sujetos obligados deben tomar las medidas necesarias para asegurar la protección de datos personales cuyo tratamiento es realizado por los encargados a través de transmisiones internacionales de datos personales, para ello se debe tener en cuenta los siguientes aspectos:

  • Disposiciones que incluyan requisitos para que los encargados cumplan con las normas colombianas de protección de datos, en general y las políticas de tratamiento del responsable, en particular. De la misma manera considerar mecanismos para que el encargado reporte al responsable los incidentes de seguridad de la información.
  • Formación y educación en temas de protección de datos personales para los empleados del encargado que tiene acceso a la información personal.
  • Exigencia de adherencia a las políticas de tratamiento si se utilizan subcontratistas.
  • Realización de auditorías internas y/o externas.
  • Acuerdos con los encargados y sus empleados aceptando que cumplirán con las políticas y protocolos del responsable del tratamiento.

8.      COMUNICACIÓN EXTERNA

Los sujetos obligados deben desarrollar un procedimiento para informar a los titulares sus derechos, de acuerdo con lo establecido en el artículo 11 de la ley 1581 de 2012, así como los programas de control que han implementado, las comunicaciones dirigidas a los titulares deben ser claras, comprensibles y no limitarse a una simple reiteración de la ley. El objetivo que debe alcanzar es dar a conocer a los titulares que tienen derecho a acceder a sus datos personales, actualizarlos, corregirlos, eliminarlos y revocar la autorización que hayan otorgado cuando no exista un deber legal o contractual de permanecer en la base de datos e informarles acerca de los mecanismos que han puesto a su disposición para ejercer esos derechos.

Fuente: CARLOS ALFONSO BOSHELL NORMAN