Empresas han pagado más de $30.000 millones por violación de datos personales.

PROTECCIÓN DE DATOS

Empresas han pagado más de $30.000 millones por violación de datos personales

El abogado socio de la firma Pava, Díaz Arana, Andrés Díaz, dijo que las sanciones impuestas por la Superintendencia de Industria y Comercio (SIC) a empresas en Colombia por la violación de datos personales ha incrementado exponencialmente en los últimos años.

5 de noviembre de 2020

Según cifras de Díaz, la SIC ha implementado 800 sanciones a empresas por violación de datos durante la última década.

Colombia pasó de recibir 350 denuncias por violación de datos personales en 2010, a más de 4.000 denuncias por el mismo delito en lo que va del 2020”, dijo Díaz. 

El valor de las sanciones impuestas por la SIC a la compañía es de más de $30.000 millones y solo entre 2018 y 2019 el monto de las penalidades fue de $9.000 millones.

Lea también: Vulnerar datos personales les costó $11.902 millones a las empresas

“Para evitar tener problemas, la recomendación es que las empresas establezcan una política clara para el manejo pertinente de los datos personales. Este es un problema y un riesgo serio que puede dar hasta 8 años de cárcel”, dijo Díaz.

Denuncias tratamiento de datos

El experto aclaró que la venta y el comercio de datos entre empresas está permitido en Colombia, razón por la cual si a una persona la llaman a ofrecerle algún producto, aún sin conocer la marca, no significa que haya un tratamiento equivocado o erróneo de sus datos.

Según Díaz hay cuatro clases de informaciones que están categorizadas y estipuladas en la ley colombiana:

  • Datos de caracter público. Son aquellos que no tienen reserva alguna como el nombre o el número de cédula. No tiene restricción alguna.
  • Datos semiprivados. Es información personal que no le interesa a todo el público en general, pero sí a un sector en específico, como el historial crediticio o la afiliación a los fondos de pensiones. Esta información se puede revelar con autorización de una entidad menor como una Superintendencia o un Ministerio.
  • Información privada. Son los datos que solo pueden ser revelados en virtud de una autoridad judicial, como fotos familiares, preferencias en distintos aspectos o prácticas íntimas.
  • Información sensible o reservada. Son aquellos datos que pueden generar una alta discriminación como la afiliación política o las creencias políticas y religiosas. Esta información solo se puede revelar por una autoridad judicial en el marco de un proceso y cuando se requiere para la ejecución de un derecho.

Teniendo en cuenta lo anterior, Díaz explicó que las empresas deben identificar qué tipo de datos son los que manejan para no incurrir en fallas o posibles prácticas en contra de la ley.

Lea también: La SIC multó a Éxito y Banco de Bogotá por usar datos de sus clientes

“Se debe tener una política de tratamiento de datos personales porque si no se tiene un norte o un camino trazado, las empresas están actuando por azar”, dijo.

El protocolo recomendado por Díaz es revisar qué tipo de datos se poseen, cómo están siendo administrados, quiénes tienen acceso a esa información, tener en cuenta medidas de protección de datos, establecer un protocolo para recibir los requerimientos respectivos e implementar una política de tratamiento de datos en la página web.