Para no tomar a la ligera

Artículo publicado en:Portafolio

Recientemente, asistí a un evento convocado por una importante compañía de seguros con amplia presencia en el mercado nacional, en el cual fueron presentados a un grupo de sus clientes, entre otros temas, el de ‘la protección de datos personales’, definidos como cualquier información vinculada, o que pueda asociarse a una o varias personas naturales determinadas o determinables. La exposición fue impactante y afectó a los asistentes con una profunda preocupación, ante la ausencia generalizada de conciencia sobre su importancia y los evidentes riesgos que esta figura deriva para las empresas.

Nuestra Constitución ha sido explícita al rodear de especial cuidado el derecho de todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas, y al exigir que en la recolección, tratamiento y circulación de datos se deban respetar la libertad y demás garantías en ella consagradas. El tema ha tenido amplio desarrollo en la Comunidad Europea desde hace varios años. En Colombia, se asumió en el 2008 cuando se expidieron las primeras normas. Pero solo hasta el 2012 fue regulado de forma completa, incluyendo en su cobertura la responsabilidad para la totalidad de las entidades públicas y privadas de los diferentes sectores y sus deberes, así como señalando los derechos que se reconocen a los titulares de los datos.

Al considerar la ley como ‘responsables del tratamiento’, a toda persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos, termina asignando a las organizaciones, la obligación de asumir la construcción de una política de gestión de la protección de la información personal que es recaudada en virtud de las diferentes actividades del negocio, extendiendo dicho deber, a aquella que arriba a sus bases de datos, desde los diferentes actores y colaboradores internos y externos que intervienen en sus cadenas productivas y canales utilizados para llegar al cliente final.

En este contexto, a más tardar el próximo mes de noviembre, las empresas deberán registrar cada una de sus bases que contengan datos personales sujetos a tratamiento, en el Registro Nacional de Bases de Datos que administra la Superintendencia de Industria y Comercio, junto con las políticas de tratamiento de la información que obligan a los ‘responsables’ y ‘encargados’, en la respectiva organización. Lo cierto es que la mayoría de los empresarios están en mora de estructurar dicha política, tarea que demanda un esfuerzo especializado de varios meses.

El incumplimiento de los deberes legales en este campo pueden conllevar multas personales e institucionales hasta de $1’378,9 millones, y medidas como la suspensión temporal o definitiva del uso de las bases de datos. Por su parte, el delito de la violación de datos personales que involucra una amplia descripción de conductas típicas, implica prisión de 48 a 96 meses y multa de 100 a 1000 salarios mínimos mensuales. Todo lo anterior, sin perjuicio de los gravosos riesgos económicos que pueden derivar por demandas civiles, contractuales y extracontractuales, que lleguen a presentar los titulares de la información que resulten afectados. Como señaló el conferencista al final de su intervención: «Afortunadamente, para las organizaciones en el país, el público no se ha enterado debidamente de sus derechos, pero pronto será muy tarde».

Gustavo H. Cote Peña
Exdirector de la Dian
gcotep@yahoo.com