Por William David Hernández Martínez
La adopción de medidas robustas para la protección de datos personales es crucial para las empresas en el entorno actual. Más allá del cumplimiento legal, una gestión adecuada de los datos personales puede convertirse en una ventaja competitiva significativa. Proteger la información de clientes, empleados y socios no solo previene posibles sanciones y daños reputacionales, sino que también fomenta la confianza y lealtad de los stakeholders. En un mundo donde los datos son considerados el “nuevo petróleo”, su protección se convierte en un activo estratégico que puede mejorar la imagen de marca, facilitar la innovación responsable y abrir nuevas oportunidades de negocio. Además, con el aumento de las amenazas cibernéticas, las empresas que priorizan la seguridad de los datos están mejor preparadas para enfrentar riesgos y mantener la continuidad de sus operaciones.
En este contexto, la Superintendencia de Industria y Comercio (SIC) de Colombia ha emitido la Circular Externa No. 003 del 22 de agosto de 2024, dirigida a los administradores de entidades bajo su vigilancia. Esta circular establece instrucciones cruciales sobre el tratamiento de datos personales, reforzando la responsabilidad de los administradores societarios en esta materia y busca asegurar un manejo más responsable y efectivo de la información personal.
Uno de los pilares de esta normativa es el principio de “responsabilidad demostrada” o “accountability”. Este principio exige que las empresas no solo cumplan con la ley, sino que también implementen medidas proactivas de protección de datos y sean capaces de demostrar su efectividad. Esto incluye mantener registros detallados, realizar auditorías regulares y estar preparados para mostrar evidencia de cumplimiento ante la Superintendencia de Industria y Comercio.
La normativa también amplía la responsabilidad de los administradores societarios, quienes pueden ser considerados corresponsables en el tratamiento de datos personales si participan en la determinación de los fines o medios de dicho tratamiento. Esto significa que su responsabilidad personal en la protección de datos se ve incrementada. Además, se establece la necesidad de implementar políticas internas efectivas para garantizar el correcto tratamiento de datos. Estas políticas deben ser dinámicas, con un monitoreo constante y actualizaciones cuando sea necesario.
Otro aspecto relevante es la gestión de riesgos mediante estudios de impacto de privacidad. Estos estudios deben detallar las operaciones de tratamiento de datos, evaluar los riesgos para los titulares de la información y proponer medidas para mitigarlos. Este enfoque preventivo busca evitar violaciones de datos antes de que ocurran.
La normativa también resalta la importancia de fortalecer continuamente las medidas de seguridad de la información, incluyendo la identificación regular de vulnerabilidades y la adopción de medidas para mitigar riesgos. Finalmente, se enfatiza la necesidad de crear una cultura organizacional de protección de datos. Esto implica proporcionar capacitación constante a todos los niveles de la empresa, asegurando que la protección de datos esté integrada en todos los procesos y decisiones.
Recomendaciones clave para los administradores
En respuesta a los nuevos desafíos y responsabilidades que plantea la Circular Externa No. 003 de 2024, la Superintendencia de Industria y Comercio ha delineado una serie de recomendaciones cruciales para los administradores societarios. Estas directrices no solo buscan garantizar el cumplimiento legal, sino también fomentar una cultura de protección de datos robusta y proactiva en las organizaciones colombianas. Al seguir estas recomendaciones, los administradores no solo mitigarán riesgos legales y reputacionales, sino que también posicionarán a sus empresas como líderes en la gestión ética y responsable de datos personales en la era digital.
- Cumplimiento normativo riguroso: Se insta a los administradores a asegurar el estricto cumplimiento de toda la legislación vigente en materia de protección de datos personales. Este cumplimiento implica una revisión exhaustiva y periódica de todas las prácticas de la empresa relacionadas con el manejo de datos personales. Esto podría incluir la realización de auditorías internas regulares, la consulta con expertos legales en protección de datos, y la implementación de sistemas de alerta temprana para identificar posibles incumplimientos.
- Implementación de políticas internas efectivas: Es fundamental establecer, monitorear y controlar políticas que garanticen el debido tratamiento de datos personales en todas las actividades de la empresa. Es crucial que estas políticas sean claras, accesibles y comprensibles para todos los empleados.
- Mecanismos de cumplimiento: La circular recomienda adoptar mecanismos internos para hacer cumplir las políticas, incluyendo la designación de responsables de protección de datos y la creación de canales de comunicación para informes periódicos. Estos mecanismos deben integrarse en la estructura organizativa de la empresa. La designación de un responsable de protección de datos puede ser crucial, incluso si no es legalmente obligatorio, así como, se recomienda implementar un sistema de gestión de incidencias que permita reportar, investigar y resolver rápidamente cualquier problema relacionado con la protección de datos.
- Medidas preventivas: Se enfatiza la importancia de realizar estudios de impacto de privacidad, que incluyan una evaluación de riesgos para los derechos de los titulares. Los estudios de impacto de privacidad deben convertirse en una práctica estándar antes de implementar cualquier nuevo proceso o tecnología que involucre el tratamiento de datos personales. Estos estudios no solo deben identificar riesgos, sino también proponer medidas concretas para mitigarlos. Se recomienda adoptar el principio de «privacidad por diseño», integrando consideraciones de protección de datos desde las etapas más tempranas de cualquier proyecto.
La Circular Externa No. 003 de 2024 marca un avance significativo en la protección de datos personales en Colombia, enfocándose en la responsabilidad de los administradores societarios y promoviendo una cultura de protección desde los niveles más altos de las organizaciones. Esta nueva normativa no solo impacta a las grandes corporaciones, sino también a todas las entidades que manejan datos personales, lo que obligará a las empresas a realizar ajustes significativos en sus políticas y prácticas para alinearse con las directrices establecidas.
En este contexto, la protección de datos se consolida como un aspecto crítico de la gestión empresarial en el país, reflejando una tendencia global hacia una mayor responsabilidad en el manejo de información personal en la era digital. Finalmente, ENLAW está en disposición de apoyar a las organizaciones interesadas en fortalecer sus procesos de gestión de datos, ayudándolas a evitar consecuencias desfavorables y asegurando un cumplimiento efectivo de la nueva normativa.