Los retos de la ley de Protección de Datos para las empresas en Colombia

empresas_colombia

Por Ivan Dario Marrugo Jimenez

La nueva Ley 1581 de 2012 cuyo periodo de transición finaliza en Abril próximo incorpora importantes prerrogativas y obligaciones de manera transversal para todos aquellos que manejen datos de terceros. Este ámbito de acción tan amplio (Están incluidas todas las empresas) pone de presente la necesidad inaplazable para el empresario Colombiano de contar con una Política de Gestión y de Protección de Datos. Ahora bien, junto con un documento de política también es importante que el empresario desarrolle una cultura organizacional protectora y garante de los Datos y de la información propia y de terceros. Resulta entonces necesario encontrar un justo equilibrio entre la perspectiva empresarial (respecto de sus obligaciones) y la visión de los usuarios y/o consumidores (con relación a sus derechos); el cual en muchas ocasiones es bastante complejo. Se requiere pues de un modelo que permita al tiempo que garantiza la prestación de sus servicios como empresario, la adecuada protección de los datos de sus clientes, en su expectativa de privacidad y de acceso a los servicios. Es allí donde en muchas ocasiones el modelo no funciona. Si pretende tener total libertad para el tratamiento de los datos de sus clientes, seguramente infringirá la norma; o si por el contrario asume una posición inflexible y cerrada no podrá ejecutar con total fluidez el negocio.

Es por ello que la preocupación central para todas las empresas relacionadas con el tratamiento de datos personales con operaciones en Colombia no debe radicar únicamente en el cumplimiento normativo, sino que deberá enfocarse en bajar al nivel organizacional, una cultura de prevención y protección de los datos. De esta forma se garantiza que los procesos de implantación de Sistemas de gestión serán no solo mas adaptables sino también más sencillos en su entorno.

Tratándose de la reglamentación de la Ley, atrae la atención la importante labor que deberá cumplir la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio en sus facultades de inspección, control y vigilancia que viene trabajando sobre la temática desde el año 2011. La Ley de Habeas Data le otorgó a la mencionada entidad potestad para adelantar investigaciones de oficio o a petición de parte de conductas violatorias de la Ley, disponer el bloqueo temporal de datos por riesgo de violación de derechos fundamentales, impartir instrucciones, proferir declaraciones de conformidad en la transferencia internacional de datos, administrar la Red Nacional de bases de datos, entre otras.

Así mismo en materia de sanciones y procedimientos se tiene que la SIC actuará como Autoridad de Protección de Datos Personales y podrá imponer sanciones así: 1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó. 2. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. 3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio. 4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Estas sanciones económicas atienden una finalidad punitiva y en ningún caso tienen un fin resarcitorio, es decir, el afectado no podrá reclamar indemnización de perjuicios por este medio; Si la persona afectada pretende una indemnización deberá acudir a la vía ordinaria.

Entratándose de Transferencia internacional de datos Colombia adoptó la regla internacional de transferencia entre países catalogados como seguros; El reglamento que ahora se estudia tendrá en cuenta un mecanismo de listas blancas internacionales u otro similar acorde con la practica internacional.

De lo anteriormente expuesto han surgido en las empresas y en círculos académicos diversos interrogantes. Estas inquietudes así como nuevas que brotaran a futuro, solo serán resueltas una vez inicie la aplicación de tales normas, ya que todos los ejercicios hasta el momento realizados, no dejan pertenecer a escenarios imaginarios – y por efectos del control previo constitucional – ajenos (por el momento) a la realidad corporativa y de mercado.

También creemos importante resaltar que si bien la Autoridad de Protección de datos Colombiana, ha nacido con importantes reseñas y pergaminos que vislumbran un accionar objetivo e importante, no es menos cierto que los asuntos atinentes a la protección de datos no siempre tienen un fin de lucro ni se agotan en el ámbito concurrencial; por lo anterior, el que la autoridad de protección de datos pertenezca a la Superintendencia de Industria y Comercio no solo parece fragmentario sino que además ofrece cierta sospecha inicial en cuanto a la vigilancia del cumplimiento de la norma por parte de las entidades públicas.

Por último, especial atención deben prestar las empresas que participan en actividades de mercadeo tales como Agencias de Publicidad, Agencias de medio, Marketing, branding, mailing, ya que por su natural uso de herramientas virtuales tienen cierta “propensión” a infracciones en materia de protección de datos personales y por tanto serán sujetas a inspección por parte de la Delegatura de Protección de Datos Personales. En particular las tareas tradicionales de dichas empresas, tales como envíos de campañas por mailing pueden volverse un verdadero dolor de cabeza, si no se implementan medidas especiales para la protección de datos de los clientes y/o prospectos.

En síntesis uno de los grandes retos para las empresas relacionadas con actividades de Mercadeo deberán realizar un trabajo concienzudo de verificación del cumplimiento regulatorio y en especial adoptar una Política corporativa que tenga una visión preventiva; en este escenario es bastante palmario el viejo adagio: Hombre precavido vale por Dos. Así mismo por vía contractual se deberán establecer aspectos básicos del tratamiento de datos personales de terceros cuando estas empresas actúen como “encargadas” de dicho tratamiento; lo anterior debido a que la norma de conformidad con los estándares internacionales, hace diferencia entre el Responsable y el Encargado, radicando en cabeza de cada uno distintas obligaciones y responsabilidades.