Caso Facebook: ¿Es necesaria una Auditoría de Protección de Datos en nuestra empresa?
La Ley 1581 de 2012 extiende su aplicación a la protección de datos personales y su tratamiento dentro de redes sociales (portales de internet de uso interactivo entre personas), cuyo uso se de en territorio colombiano, por ende, haciendo énfasis en el principio de legalidad, todo acto que transgreda directamente los derechos de los titulares será regido por la normatividad nacional. Teniendo en cuenta el caso particular, Facebook es una red social de que alberga la información de 2,4 billones de personas, y de 31 millones colombianos, lo cual convierte a Facebook en responsable del tratamiento de los datos personales (cuales obligaciones se encuentran reguladas en el artículo 15 de la ley 1581 de 2012) de todos los usuarios que circulan dentro de ella, indicando que los mecanismos de seguridad deben ser eficientes a la hora de proteger los datos personales de forma certera. En los últimos años, las brechas de seguridad en Facebook han aumentado de manera considerable, por ejemplo el caso de Cambridge Analytica (robo de datos con fines de marketing político), hurto de tokens para robar cuentas, acceso a material delicado en chats de usuarios, entre otras. Las entidades encargadas de velar por la protección de los datos en cada país (como Irlanda, Estados Unidos, Inglaterra, Países bajos, Alemania, Canadá entre otros) han emitido un informe al respecto del desarrollo de Facebook y su impacto en dicha nación, instando a los responsables de la red social que implemente auditorías internas en la aplicación para evaluar el sistema de seguridad, en busca de identificar posibles fallas y así corregirlas. Así mismo, la Superintendencia de Industria y Comercio, por medio de la Resolución 1321 de 2019, hace un llamado a Facebook, sobre las obligaciones legales que debe cumplir como responsable del tratamiento de datos personales, las cuales se encuentran reguladas en el artículo 27 denominado ‘Políticas Internas Efectivas’ de la presente ley, además, hace énfasis en las obligaciones consignadas en ‘La Guía para Implementar el Principio de Responsabilidad Demostrada’ para la protección de datos personales, de la que destacamos las siguientes: Diseñar e implementar Programa Integral de Gestión de Datos Personales. Diseñar e implementar planes de revisión, supervisión, evaluación y control del Programa Integral de Gestión de Datos Personales. Demostrar el debido cumplimiento legal. Debemos tener en cuenta que esta resolución desarrolla un barrido informativo de recomendaciones de seguridad en conjunto con los informes de otros países, con el fin de emitir un primer llamado de carácter preventivo para evitar que sucedan incidentes con usuarios de cuentas de esta red social dentro del territorio nacional. En ese mismo sentido, la Superintendencia de Industria y Comercio reivindica a través de esta resolución la necesidad de realizar Auditorías en Protección de Datos para cumplir de manera integral con normatividad y crear una cultura organizacional de privacidad y seguridad de la información.