`Accountability´ y compromiso gerencial en el tratamiento de datos personales

accountability

Por Nelson Remolina Angarita

Los artículos 26 y 27 del Decreto 1377 del 2013 incorporan elementos importantes sobre el principio deaccountability en el tratamiento de datos personales. Este fue definido y desarrollado por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) en sus directrices de 1980 y su actualización del 2013. Se trata de la obligación de adoptar medidas apropiadas, efectivas y verificables respecto del cumplimiento de las normas sobre protección de datos, lo cual implica crear programas de gestión de datos (PGD) como mecanismo operativo a través del cual las organizaciones implementan lo necesario para garantizar el debido tratamiento de los datos personales (OCDE, 2013).

Dicho principio también fue incluido en la Resolución de Madrid del 2009, bajo el nombre de “Responsabilidad”. El mismo exige a los responsables y encargados del tratamiento: (i) adoptar medidas apropiadas para cumplir sus obligaciones legales y (ii) estar en capacidad de evidenciar el correcto cumplimiento de sus deberes. Para el efecto, deben contar con herramientas idóneas que les permitan probar lo anterior ante las autoridades y los titulares de los datos.

Lograr que los directivos de las organizaciones públicas y privadas le den importancia al tratamiento de los datos personales de sus clientes, empleados y la ciudadanía en general es el gran reto del principio deaccountability. Este fracasará si no existe compromiso de la alta gerencia de las organizaciones, porque exige menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales.

El éxito del principio de accountability dependerá del compromiso real de los líderes de las organizaciones –presidentes y miembros de juntas directivas–, ya que sin su apoyo sincero y decidido, todo esfuerzo será insuficiente para diseñar, implementar, revisar, actualizar y evaluar los PGD. Es necesario destinar recursos –económicos y humanos– para esta labor y poner a trabajar armónicamente varias dependencias de la organización, ya que esto no es solo un tema jurídico, sino ante todo una responsabilidad de gestión gerencial y de gobierno corporativo.

El principio de accountability implica que las organizaciones se pregunten, entre otras cosas, lo siguiente: ¿El (la) gerente de la empresa conoce la Ley 1581 del 2012? ¿Existe un PGD? ¿El PGD involucra todo lo que exige el cumplimiento de dicha ley y es consistente con las instrucciones que imparta la Superintendencia de Industria y Comercio? ¿Se ha designado una dependencia o un responsable interno del cumplimiento de dicha ley y del PGD? ¿Son claros, suficientes y eficientes los procesos para cumplir el PGD? ¿Se está monitoreando el cumplimiento de dicho programa? ¿Se ha revisado, actualizado y evaluado el PGD? ¿Qué recursos se han designado para el cumplimiento del PGD? ¿Existen protocolos útiles para responder oportuna y eficientemente  incidentes de seguridad o solicitudes de los titulares de los datos personales? ¿Su equipo humano está capacitado para cumplir correctamente todo lo que exige el PGD? ¿Está en capacidad de probar todo lo que ha realizado para cumplir el PGD y de demostrar que ello es apropiado y efectivo para garantizar el debido tratamiento de datos personales?

Todos ganamos si se cumple lo que exige el principio de accountability, porque si los responsables del tratamiento hacen bien su tarea, se espera que no existan motivos para que las personas consideren que sus datos se están tratando indebidamente. En este sentido, Colombia irá por buen camino, si logra que los administradores y los directivos de las entidades públicas y privadas entiendan y se comprometan con el principio de accountability en el contexto del tratamiento de datos personales.

Artículo publicado originariamente por el autor en Ámbito jurídico.