¿Hasta qué punto es legal el uso que le dan las empresas a sus datos personales?

Así lo advirtió en una entrevista concedida a Dinero el presidente ejecutivo de Certicámara, Héctor José García, quien además señaló que “solo en grandes empresas o corporaciones se han implementado verdaderos controles para "el adecuado, limitado y uso seguro de los datos personales”.

El desconocimiento con respecto a esta temática es generalizada. Muestra de ello es que en lugares donde se han instalado dispositivos biométricos (generalmente de huella) como oficinas o conjuntos residenciales también se está realizando un mal uso de la información.

Esto debido a que “después de surtirse un proceso de registro se están almacenando datos personales sensibles cuyo uso no ha sido autorizado, ni siquiera para el almacenamiento de dicho patrón biométrico que es sin lugar a dudas un dato sensible como lo establece el artículo 5 de la Ley 1581", precisó García.

El encargado de Certicámara, una organización fundada en 2001 con el objetivo de promover el comercio y el gobierno electrónico confiable, asegura que “no existe una conciencia colectiva frente al adecuado tratamiento de datos personales en Colombia” pues “su uso se hace en muchos de los casos de manera indiscriminada e inconsulta”.

Vale la pena recordar que a finales del año pasado cientos de usuarios ‘indignados’ con el sistema de cobranza del Instituto Colombiano de Crédito y Estudios Técnicos en el Exterior (Icetex) denunciaron un mal manejo de sus datos privados por parte de esa entidad.

También le podría interesar: El “viacrucis” de centenares de estudiantes con las casas de cobranzas del Icetex

Según ellos Icetex utilizó de manera indebida sus datos personales al dárselos a firmas de cobranza externas que utilizaron dicha información para “acosar” a los deudores por medio de correos electrónicos a sus empleadores, mensajes de texto amenazantes y hasta cartas físicas enviadas a sus residencias.

Dicha situación derivó en que el Icetex tuviera que cambiar la manera en la que realizaba dichos cobros y optó por realizar esta tarea de manera directa para evitar este tipo de inconvenientes, según lo reconoció en una entrevista concedida a Dinero el director del Icetex, Andrés Vázquez.

Es preciso señalar que los datos personales, de acuerdo a la normativa, solo podrán ser usados por las organizaciones para lo que expresamente haya autorizado la persona, para lo cual se requiere consentimiento previo, expreso e informado.

Es por ello, que el responsable de administrar esos datos tiene la obligación de informar al titular sobre el uso que hará de sus datos personales, de tal modo que él, de manera informada, pueda autorizar o no determinado tratamiento. Concluyendo que todo lo que desborde dicha autorización se debe entender como una violación de la privacidad de la persona.

 Es importante recordar algunos de los deberes de los encargados del tratamiento de los datos:

• Garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data

También le podría interesar este artículo: El robo de información personal se ha convertido en un dolor de cabeza para los internautas: ¿Cómo protegerse?

 Es preciso señalar que los episodios relacionados con el mal manejo de los datos personales son crecientes. De hecho, a noviembre de 2016 la Superintendencia de Industria y Comercio impuso 51 sanciones por un valor superior a $4.000 millones a empresas que han incumplido la normativa.

Para ponerse al día en este tema, las empresas y entidades públicas invirtieron en el 2016 cerca de 40.000 millones en herramientas tecnológicas con altos niveles de seguridad para proteger sistemas de información, canales transaccionales y validar la identidad de ciudadanos.

Sin embargo, estos esfuerzos aún no son sufrientes, dado que para este año hay desafíos mayores en la materia que exigirán una mayor preparación por parte de las organizaciones del país con respecto a la buena gestión de los datos de los ciudadanos.

Entre ellos la identificación de las víctimas del conflicto armado, la implementación de la facturación electrónica, el reporte de la información que manejan todas las empresas inscritas en las cámaras de comercio del país a través del Registro Nacional de Bases de Datos, así como la definición y regulación de los títulos valores electrónicos en Colombia.

Para lograr claridad frente a este tema, el presidente ejecutivo de Certicámara, Héctor José García, respondió algunas de las principales interrogantes de la ciudadanía. Esta es la entrevista completa.

Si le interesó este tema también le podría gustar leer: Las empresas colombianas escatiman en gastos y se rajan en ciberseguridad

¿Cuál es el contexto en el que se da la Ley de Protección de Datos Personales en el país y por qué es tan importante? 

Es importante precisar que el derecho al hábeas data, en sus primeros momentos,  ha sido interpretado en la jurisprudencia constitucional como una garantía del derecho a la intimidad, de manera que se hablaba de la protección de datos referidos a la vida privada y familiar del individuo entendido como una esfera individual impenetrable.

A partir del año 1995 surge una nueva línea interpretativa que es la que ha permanecido desde entonces, según la cual el hábeas data debe ser entendido como un derecho autónomo cuyo núcleo esencial está compuesto por la autodeterminación informática y la libertad, incluida la libertad económica.

¿Qué responsabilidad asumen las empresas que manejan información sensible de sus usuarios?

Las personas naturales o jurídicas que por cualquier motivo recaben datos personales, deben implementar los preceptos de la Ley 1581 de 2012, entre otros, contar con una política de protección de datos personales y con protocolos de solicitud de autorización en el uso de datos personales que permita su posterior consulta y uso en los términos y alcance de dicha autorización. Así mismo, las empresas deben procurar por instaurar una cultura interna que les permita a los funcionarios entender y conocer acerca de la importancia del cumplimiento de la normatividad en esta materia.

¿Qué tanto ha avanzado el país en materia de Protección de Datos Personales?

Contamos con una serie de normas de rango constitucional y legal que brinda las herramientas para pasar de la teoría a la práctica en materia de protección de datos personales y que le permite al ciudadano exigir la protección al derecho fundamental a la intimidad personal y familiar y al buen nombre. No obstante por el robusto andamiaje normativo con el que cuenta nuestro país, el reto ahora es aplicarla (la norma) con rigor, agilidad y con vocación de permanencia.

¿Cómo está Colombia con respecto a los referentes en América Latina en esta materia? 

Desde los análisis comparativos realizados en Certicámara, los países latinoamericanos referentes en la materia que marcan la tendencia en una protección efectiva de los datos personales, son Argentina, Brasil, Chile y Uruguay.  Colombia se encuentra en un buen estatus frente a la protección de los datos personales de cara a Latinoamérica, pero en la región aún nos falta mucho por trabajar, para lograr un nivel efectivo de control y protección de los datos personales

 ¿Cuáles son los principales desafíos en esta materia? 

• Hacer cumplir las normas en materia de protección de datos a través de un control efectivo.
• Adelantar de manera expedita las investigaciones cuando haya una presunta violación a las normas en materia de protección de datos personales.
• Promover y divulgar los derechos de las personas con relación al tratamiento de datos personales.
• Administrar en debida forma el Registro Nacional Público de Bases de Datos.
• Aunar esfuerzos con la comunidad internacional para la debida protección de datos personales.

 ¿Las empresas colombianas realmente están respetando la Ley de Protección de Datos?

La Superintendencia de Industria y Comercio. SIC, a través de la Delegatura en materia de Protección de Datos personales, ha venido gestionando denuncias y sancionando empresas que no vienen cumpliendo con la normatividad vigente en esta materia. 

 Así mismo, no existe una conciencia en las empresas sobre la importancia de los datos y su protección y debido uso. Seguramente con el cumplimiento del Decreto 1759 de 2016 que amplió el pazo para los responsables del tratamiento de información personal a fin de que inscriban sus bases de datos en el Registro Nacional de Bases de Datos, se dará un paso importante y sin precedentes para la protección de los datos en Colombia. 

La SIC informó que en los últimos meses aumentó significativamente el número de empresas que hicieron los registros de sus bases de datos, pasando de 7.098 el 1 de octubre de 2016 a 70.156 a un día de vencerse el primer plazo establecido por el Gobierno para realizar dicho trámite.

¿De las sanciones impuestas por la Superintendencia de Industria y Comercio, cuáles son los casos más comunes con respecto a la mala gestión de los datos? 

Los casos más comunes se relacionan con la falta de calidad de la información reportada a las centrales de riesgo y el incumplimiento del envío de la comunicación previa al reporte de información negativa. Frente a la Ley 1581 de 2012, las infracciones más comunes se relacionan con fallas de seguridad de la información y falta de autorización para el tratamiento de los datos.

 ¿Cuáles son las implicaciones de no respetar el proceso con respecto a la Protección de Datos Personales? 

 La Ley 1581 de 2012 señala en su artículo 23 una serie de multas que será impuestas por la SIC a los responsables o encargados del tratamiento, tales como:

• Multas de carácter personal e institucional hasta por el equivalente de dos mil salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción.

• Suspensión de las actividades relacionadas con el tratamiento hasta por un término de seis meses.

• Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la SIC

• Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

En varios casos algunas organizaciones piden que los usuarios en la web acepten compartir sus datos personales para acceder a cierta información, pues si no lo hacen no les será posible ingresar. ¿Es aceptado esto? 

En el caso puntual, al exigir dicha autorización para acceder a determinada información como una condición necesaria para el acceso a la misma, si bien no comporta una prohibición legal expresa, si se trata de una presión indebida al Titular del dato que puede ser denunciada para buscar su eliminación ante la Delegada de Protección de Datos Personales de la Superintendencia de Industria y Comercio.

Tal vez le podría interesar: Siete formas en las que los hackers gestarán grandes golpes en el 2017