| 5/29/2013 7:13:00 AM

El costo del mal manejo de la información

Con apenas un mes de vigencia, la Ley 1581 de 2012 de protección de datos, ha sancionado alrededor de 360 entidades con montos cerca de $5.000 millones.

Así lo manifestó el Superintendente Delegado para la Protección de Datos Personales, José Alejandro Bermúdez, de la Superintendencia de Industria y Comercio en diálogo con Dinero.com, al tiempo que aseguró que existe una homologación en proceso por parte de Colombia para con los requerimientos que exigen algunas empresas clientes de call centers nacionales para este régimen.

¿En qué consiste esta Ley?
La Ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. Lo que le brinda a la persona la capacidad de determinar que se hace con su información personal. Y en caso de que quiera, rectificar, es decir, solicitar a una entidad que le borre de su base de datos, o actualice. Ya que esta Ley se podría decir es ‘retroactiva’.

¿A quienes vincula esta Ley?
A todas las personas naturales o jurídicas, de naturaleza pública o privada, que administren bases de datos que contengan datos personales, como las EPS, los Call Center, las empresas de mercadeo, las redes sociales, etc. Sin embargo, para los efectos de supervisión de la Ley, existen dos categorías de sujetos obligados. Los primeros que son los responsables de la información, que son aquellos que recolectan la información, tales como las grandes superficies para una tarjeta de fidelización y los segundos, los llamados encargados del tratamiento de la información, que son estos que efectúan una operación con los datos, tales como un call center.

¿Qué les exige la Ley?

Las entidades públicas y privadas que realicen Tratamiento de datos personales deben contar con una autorización previa, expresa e informada de los dueños de la información, salvo las excepciones legales. Por ejemplo no se pueden dar autorizaciones sombrilla, que es dar permiso para que con la información se haga lo que se quiera.
Además, garantizar a este titular el ejercicio de sus derechos y conservar copia de esa autorización. Implementar medidas de seguridad en la conservación de los datos personales y actualizar y rectificar la información del Titular, según corresponda.

También, tramitar las consultas y reclamos que presenten los dueños de los datos, adoptar un manual interno de políticas y procedimientos para garantizar el cumplimiento de la ley y registrar en la base de datos las leyendas de “reclamo en trámite” o “información en discusión judicial”, según el caso.

Obviamente, debe abstenerse de circular información que esté siendo controvertida por el dueño de la información, permitir el acceso a la información únicamente a las personas legitimadas para ello e informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos para la información almacenada.

¿Qué categorías especiales de datos establece esta nueva ley de Hábeas Data?

La Ley 1581 de 2012 protege en forma especial los datos que denomina “sensibles”, como los relacionados con el credo religioso, partido político, raza, salud, así como los datos de los niños, niñas y adolescentes.

¿Qué sanciones tendrá una empresa por violar la ley?
La ley trae tres tipos de sanciones. Multas que llegan hasta 2.000 salarios mínimos, es decir $1.170 millones, pero el rango varía acorde al criterio de la Superintendencia y la gravedad de la infracción.
La segunda es suspensión de las actividades de los establecimientos comerciales o cierre temporal de las operaciones relacionadas con un tratamiento de información y el tercero es los cierres inmediatos y definitivos, cuando hay tratamientos de datos sensibles. (datos que afectan la intimidad o cuyo uso genera discriminación. Orientación sexual, datos de salud, orientación político, origen racial o étnicos y demás). Hemos impuesto 360 sanciones con montos cercanos a los $5.000 millones, desde que entró en vigencia la ley.

¿Entre los actores que manejan la información, quién se haría responsable de las sanciones?
El responsable es el quien decide qué se va a hacer con la información, el encargado es quien le da tratamiento y el responsable le ordena. Los dos tienen una serie de deberes similares, pero quien corre con la mayor parte de la responsabilidad es el responsable.

¿A qué tienen derecho los dueños de la información?
A conocer, actualizar y rectificar sus datos personales, solicitar prueba de la autorización otorgada para su tratamiento, ser informado sobre el uso que se ha dado a los mismos, presentar quejas ante la Superintendencia de Industria y Comercio -SIC- por infracción a la ley, revocar la autorización y solicitar la supresión de sus datos en los casos en que sea procedente y acceder en forma gratuita a los mismos.

¿En qué beneficia tener esta Ley a los call center frente a clientes en otros mercados?

Es claro, que hay muchas empresas de ese tipo que tienen muchos clientes extranjeros, sobretodo en los mercados europeos. Cosa que anteriormente para coordinar el flujo de información de mercados europeos hasta Colombia, se requería pasar por un proceso engorroso. Ahora puede resultar mucho más sencillo, por lo que estamos en el proceso de lograr una declaratoria de adecuación, frente a dichos países. Es un proceso que ya inició, pero que aún no se ha concluido.

¿Qué diferencia hay entre la Ley 1266 de 2008 y la Nueva Ley 1581 de 2012?
Las dos son leyes estatutarias y regulan el derecho fundamental de Hábeas Data, es decir, el derecho que tienen las personas de conocer, actualizar y rectificar la información recogida en bancos de datos públicos y privados. Lo que sucede es que la Ley 1266 de 2008 sólo regula el derecho de Hábeas Data en cuanto se refiere a datos de carácter financiero y crediticio, en tanto que la nueva ley le aplica a todas las bases de datos que almacenen y utilicen datos personales, con excepción de las bases de datos que se mantienen en un ámbito doméstico, las de seguridad nacional, las de inteligencia, contrainteligencia, las de contenido periodístico y de censos.

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?