EL RETO CORPORATIVO EN EL TRATAMIENTO DE LOS DATOS PERSONALES – RECOMENDACIONES

Artículo elaborado por Luís Félix Barriga para la revista El Indicador de BFK International

 

Habeas Data, derecho a la protección de datos personales y al buen nombre, es un derecho que se ha
establecido como fundamental desde 1991 y que a través del artículo 15 de la Constitución Política de
Colombia ha determinado que todas las personas “tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas
y privadas”.
Pero, a pesar de los esfuerzos de la Corte Constitucional de otorgarle una dimesión a través de
jurisprudencia, es desafortunado que en Colombia este derecho sea regulado de manera directa solo 19
años después de su creación por medio de la Ley 1581 de 2012, en contraste con países como Argentina
(Ley 25.326 de 2000) o Chile (Ley 19.628 de 1999) que cuentan con procesos de desarrollo jurídico y
reformas en marcha.
A lo anterior se le suma el desconocimiento tanto del alcance como de la obligatoriedad de este derecho
por parte del sector empresarial en general. De este modo, para generar un acercamiento en cuanto a su
pertinencia, es preciso realizar un chequeo de los siguientes conceptos:
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables.
Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento
Tratamiento de datos personales: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o supresión
Entonces, si una organización efectúa tratamiento de datos personales generando bases de datos, la
empresa debe integrar la ley de Protección de Datos como una variable más dentro de su plan de negocio.
Sin embargo, algunos lectores desprevenidos han entendido erróneamente que el cumplimiento de la
normativa por parte de quienes ejercen tratamiento de datos personales, tanto en el sector público como
en el privado, se limita al registro de las bases de datos, la creación de una politica de tratamiento de datos
personales, un aviso de privacidad y una cláusula en los contratos de prestación de servicios estandar. No
obstante, la satisfacción de este Derecho de los titulares y el cumplimiento de la ley abarcan un escenario
mucho más amplio.
Para dar prueba de lo anterior basta leer la Circular Única de la Superintendencia de Industria y
Comercio, la cual ha señalado que las compañías deben establecer procedimientos (los cuales deben ser
informados a la autoridad competente o titulares, bajo requerimiento) para:
 La atención a los titulares de datos personales, permitiendo que puedan ejercer sus derechos a
conocer, actualizar, rectificar y suprimir información, como también para revocar la autorización sobre el
tratamiento de sus datos personales en los casos permitidos por la ley.
 La autorización, recolección, conservación y supresión de los datos personales, como también la
descripción de las finalidades para las cuales esta información es recolectada.

 Las condiciones de seguridad necesarias para impedir la adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento de datos personales.
 Atender los principios de legalidad, finalidad, libertad, veracidad, calidad, transparencia, acceso y
circulación restringida, seguridad y confidencialidad de los datos personales.
Tal como vemos es un cúmulo de requerimientos. Y a pesar de que la ley no explica cómo se deben
desarrollar los procedimientos para la protección del derecho al Habeas Data, si nos presenta un principio
de origen anglosajón denominado “Responsabilidad Demostrada” (Acountability) 1 , así como también
establece un régimen de sanciones altamente cuantiosas (al 2017 hasta $1.475.434.000) y genera términos
perentorios para registrar las bases de datos en el Registro Nacional de Bases de Datos, con un plazo
máximo hasta el 30 de junio del presente año.
¿Qué debe hacer el Sector Empresarial?
El dialógo entre las áreas dentro de la organización es fundamental para la protección del derecho al
habeas data, ya que todas las unidades de negocio de la compañía suelen tener injerencia en el
tratamiento de datos personales. No obstante, es recomendable que se establezca un proyecto en el que
existan roles y responsabilidades de liderazgo para la gestión de procesos que logren la protección del
derecho generando seguridad jurídica en el desarrollo del negocio.
Por otra parte, las normas técnicas internacionales juegan un papel importante en el método de abarcar
esta nueva variable corporativa. En particular se destaca la ISO/IEC 27001, adoptada en Colombia por el
Icontec (NTC-ISO-IEC 27001), la cual presenta los requisitos necesarios para establecer, implementar,
mantener y mejorar el SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI).
De este modo, el SGSI establece un procedimiento que, aunado con el estudio del régimen de protección,
debe lograr los siguientes beneficios para la Compañía:
 El establecimiento de sistemas de control de tratamiento de datos personales e información
sensible, mediante los sistemas de seguridad y controles adecuados.
 Organización y eficiencia tanto en el manejo como en el tratamiento de los datos personales.
 Tranquilidad durante las investigaciones por parte de los organismos de control en materia de
datos personales.
 Presentarse ante sus grupos de interés como un garante de la información personal, otorgando así
un valor agregado al servicio que ofrece.
Finalmente, podemos decir que la protección del derecho al habeas data presupone un enorme reto para
las organizaciones las cuales, a pesar de que deben desarrollar actividades que consumen valiosos
recursos en materia de tiempo y dinero, buscan contrapeso a los procesos naturales del mundo digital,
donde la intimidad, privacidad y autodeterminación sobre los datos personales son cada vez mas ajenos a
su titular.

Leave A Comment

You must be logged in to post a comment.