Importancia de tener una política de tratamiento de datos personales en tu empresa

En Colombia, la Constitución Política (en adelante C.P.) es la norma de mayor jerarquía y se debe tener en cuenta para la elaboración del resto de leyes que se impongan en el estado. El Capítulo 1 del Titulo II nos enuncia los derechos fundamentales que se deben garantizar a cualquier persona. El artículo 15 es uno de esos derechos fundamentales que se enuncian y que tiene especial protección.

“ARTÍCULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”

Ver completo en: Constitución Política de Colombia

Para llevar a cabo la instrucción constitucional vista en el Art. 15, el estado colombiano por medio de su poder legislativo aprobó y promulgó la Ley 1581 de 2012, conocida como el Régimen General de Protección de Datos Personales. Dirigida a todas las personas naturales o jurídicas que traten datos personales, es decir, que recolecten, almacenen, usen, circulen o supriman datos personales.

Al tener claro que todos los ciudadanos tenemos derecho a conocer, actualizar y rectificar los datos personales almacenados o recopilados en bases de datos cuya administración esté en cabeza de personas naturales; empresas privadas o entidades públicas, podemos pensar en hacer cumplir y respetar ese derecho fundamental, mencionado en el Artículo 15 de la C.P. y sus normas reglamentarias, inclusive haciendo uso del aparato coercitivo del estado. Más adelante ahondaremos en las sanciones a las que pueden verse abocados los que transgredan estas reglas.

Definiciones importantes que trae la Ley 1581 de 2012:

“Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.

Las principales reglas que deberán cumplir las personas naturales o jurídicas que traten datos personales son:

1. Solicitar al titular autorización o consentimiento para el tratamiento de sus datos personales.
2. Elaborar y poner a disposición del titular de datos personales la política de tratamiento de la información personal que recopile.
3. Poner en conocimiento del titular de datos el aviso de privacidad, y dejar prueba de ello.

Con este contexto, ¿en qué consiste la protección de datos personales?

La protección de datos personales, trata de garantizar el debido tratamiento de la información personal entregada con el consentimiento informado del titular, mediante procedimientos y/o tecnologías que brinden medidas de seguridad que eviten el uso no consentido de los datos personales recopilados en una base de datos física o digital administrada por personas naturales o jurídicas.

En una entrada anterior explicamos algunas herramientas de ciberseguridad que sirven para resguardar la información sensible a cargo de las empresas.

¡Mucho cuidado!

Las organizaciones deben tener muy claro que los datos personales sensibles son aquellos que tienen que ver con la intimidad de su titular, y su indebido tratamiento puede desembocar en tratamientos desiguales ante la ley o discriminaciones como las generadas por la orientación sexual, convicciones filosóficas, pertenencia a partidos políticos, origen racial o datos relacionados con la salud de la persona.

Para tratar estos datos se requiere una protección reforzada y se le debe informar al titular que no está obligado a dar consentimiento para su tratamiento. Esto te lo contamos con más detalle en nuestro blog 5 claves para crear políticas de tratamiento de datos personales.

De igual manera cabe mencionar que ninguna actividad empresarial o de negocio puede verse condicionada a que las personas entreguen sus datos personales sensibles para poder funcionar.

También se debe tener mucho cuidado cuando las organizaciones recopilen y quieran tratar datos de menores de edad. En este caso son los representantes legales quienes deben dar el consentimiento previo e informado, respetando el derecho del menor a que sea escuchado para que sus derechos fundamentales sean asegurados.

SANCIONES: Según la Ley 1581 de 2012, artículo 23, las personas naturales o jurídicas encargadas y responsables del tratamiento de datos que no sigan los requisitos establecidos, podrán incurrir en las siguientes sanciones:

i) multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) SMLMV al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento,

ii) suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de seis meses y,

iii) el cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

EN OTRAS JURISDICCIONES En Estados Unidos no hay una ley federal que obligue a las personas naturales o jurídicas que recojan y almacenen datos personales a tener una política de tratamiento y privacidad, pero en algunos estados ya se ha avanzado en ese sentido.

El caso más visible y adelantado se encuentra en California. Allí empezó a regir desde el 2020 la Ley de Privacidad del Consumidor (CCPA por sus siglas en inglés). Su aplicación va dirigida a empresas que recogen información personal de residentes de ese estado y cumplen determinados umbrales (de ingresos, volumen de procesamiento de datos, etc.) Los titulares pueden solicitar a las empresas obligadas por la CCPA que eliminen sus datos personales. Las sanciones pueden ser de hasta $7.500 dólares por cada violación de esta ley.

En la Unión Europea entró en vigor en el año 2018 el Reglamento General de Protección de datos (GDPR por sus siglas en inglés). Esta norma regula el tratamiento de datos personales teniendo en consideración el rápido crecimiento de las tecnologías de la información, pues cada vez más las personas están expuestas a un tratamiento indebido de su data. Además, con esta norma se quiere lograr una apropiada y correcta integración de datos de una forma organizada entre los países miembros de la Unión Europea. Las sanciones que trae la GDPR se dividen en dos categorías:

A- Las menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos).

B- Las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos).

Hay que tener presente que el régimen sancionador se aplica a los responsables y encargados del tratamiento. En cambio, no se aplica al delegado de protección de datos.

Para concluir

Las personas naturales o jurídicas que recopilen datos personales deben tener en consideración que la razón más importante para hacer una buena política de tratamiento y seguridad de estos es el cumplimiento de las diferentes legislaciones aplicables según el lugar de donde se recopile la información.

No obstante, no es la única razón debido a que al tener garantizada la debida protección y tratamiento genera confianza y le da una buena reputación ante las partes interesadas.