La protección de datos personales… ¿y ahora qué hacemos?
Daniel Peña Valenzuela – Peña Mancero Abogados
Llevamos varios años desde la entrada en vigencia del régimen de protección de datos personales (primero, la Ley 1266 del 2008, de aplicación específica para las centrales de riesgo crediticio, y, más adelante, la Ley 1581 del 2012, con alcance general para todos los sectores de la economía). Y a pesar de que de manera paulatina se han dado pasos para la aplicación de este nuevo régimen y se ha desplegado toda una labor de pedagogía, parece que, por ahora, se puede aplicar el dicho popular de: “esa ley no pego por aquí…”.
El plazo dado a las empresas para llevar a cabo el registro de las bases de datos personales ante la Superintendencia de Industria y Comercio (SIC) vence en el mes de octubre de este año. Para el Estado colombiano, tener a su disposición la información sobre las bases de datos y las políticas de tratamiento de datos personales en el universo empresarial es un hito fundamental en el cumplimiento de la ley, pues es la columna vertebral para la supervisión, regulación y vigilancia por parte de esta entidad pública.
Este plazo perentorio parece que no ha despertado entusiasmo, interés ni tampoco ha intimidado a los empresarios frente a un posible incumplimiento. A pesar del esfuerzo notorio de la SIC y de sus funcionarios recorriendo todo el país con eventos, conferencias y talleres, así como la difusión por abogados expertos y no tan expertos entre sus clientes respecto de la obligatoriedad del registro, no es claro lo que ocurre. El número de registros a estas alturas del año aún es escaso. Ojalá nos equivoquemos y pueda ser que sea el resultado de un defecto característico de nuestra sociedad de dejar todo para la última hora, pero la razón puede ser más de fondo: que nuestros empresarios no sean conscientes de la importancia de construir una sociedad de la información que sea transparente, legítima, equilibrada y justa.
Los datos personales son el motor de la mayoría de negocios digitales y proyectan un futuro promisorio con el tratamiento de información prácticamente sin límite, el Big Data; por lo tanto, es miope no empezar “con el pie derecho” y cumplir con el mencionado registro. Las empresas deben hacer la tarea prevista de manera detallada en la Circular Externa 02 del 3 de noviembre del 2015 de la SIC, por la cual impartió instrucciones a los responsables del tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las cámaras de comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos.
En la práctica, entre otras, las empresas deben: (i) clasificar la información en su poder, (ii) determinar el origen de los datos, (iii) definir si en sus bases de datos existe recaudo y tratamiento de datos personales, (iv) si hubo consentimiento para el tratamiento de los titulares de los datos, (v) si no se aplican las excepciones al régimen, (vi) investigar si existe flujos de datos personales al exterior del país y si los datos son tratados de manera directa o por terceros, (vii) definir las políticas internas de manejo de datos, (viii) establecer mecanismos para los reclamos de los titulares y para la gestión de los incidentes de seguridad y (ix) registrar en línea las bases de datos en el Registro Nacional de Bases de Datos Personales. Estas pueden ser bases de datos personales, por ejemplo, de clientes, de proveedores, de distribuidores, empleados, de funcionarios, de usuarios
Todo parece indicar que para la consolidación de la cultura de la protección de datos no van a ser suficientes las leyes. Aunque, a corto plazo, las posibles sanciones de la SIC sean la fórmula para despertar a las empresas como ha sido el caso del régimen de libre competencia y de la protección del consumidor. No obstante, para la construcción de un país moderno e integrado al mundo sería muy decepcionante constatar que nuestros empresarios necesitan siempre “un policía” para cumplir las leyes.
El posconflicto que se avecina debe traer consigo una reflexión seria sobre el cumplimiento estricto de nuestro sector empresarial a sus obligaciones legales y también la construcción de la Colombia digital en siglo XXI, en la que todos respetemos los derechos fundamentales, y la protección de datos personales tiende a convertirse en la base de la observancia de los derechos en la era digital.
Ojalá nuestra percepción sea falsa y el empresariado colombiano con la temática de la protección de datos personales dé un ejemplo de cumplimiento a la ley. Todos debemos poner un granito de arena para tener un país mejor listo a asumir los retos del mundo digital… todavía hay tiempo…