Futurlex

regulation, gdpr, data-3246979.jpg
Habeas Data

El futuro de la protección de datos en Colombia: Un análisis del proyecto de reforma a la Ley 1581 de 2012

Futurlex analiza el proyecto de reforma a la Ley 1581 de 2012 en Colombia, explorando sus implicaciones para empresas, entidades públicas y ciudadanos. Si bien el proyecto aun no ha sido radicado ante el Congreso, el mismo fue a sometido a comentarios y diversos espacios de debate. Nuevos retos, nuevas normas: La era digital exige una legislación actualizada en materia de protección de datos. El proyecto de reforma busca modernizar la ley colombiana, adaptándola a los estándares internacionales y respondiendo a los desafíos de la era digital. Aspectos clave: Evaluación de impacto, oficial de protección de datos, refuerzo de derechos, seguridad de la información, sanciones y papel de la Superintendencia de Industria y Comercio. Futuro prometedor: La reforma legislativa impactará el panorama digital del país. Empresas, entidades públicas y ciudadanos deben prepararse para este nuevo entorno. Top 10 de los principales cambios: Síguenos para conocer más sobre el futuro de la protección de datos en Colombia. Elaborado con apoyo de Gemini IA

LEER MÁS
Chat GPT
Habeas Data

La SIC anuncia investigación a Open AI por preocupaciones en materia de privacidad en Colombia.

En una noticia reciente, la Superintendencia de Industria y Comercio (SIC) de Colombia ha anunciado la apertura de una investigación a OpenAI, la organización detrás del modelo de lenguaje AI conocido como Chat GPT. Esta medida se ha tomado con el objetivo de evaluar si la aplicación cumple con la regulación de protección de datos personales. La investigación refleja las crecientes preocupaciones en torno a la privacidad y el uso responsable de la inteligencia artificial en el país. Los modelos de lenguaje AI, como Chat GPT, han ganado popularidad en diversas áreas, desde la asistencia en la redacción de textos hasta la interacción con usuarios en línea. Sin embargo, esta tecnología plantea interrogantes en términos de privacidad y protección de datos personales. Una de las principales preocupaciones es la recopilación y el uso de datos. Para entrenar y mejorar el modelo, se requiere una cantidad considerable de información, incluyendo datos personales. Si no se implementan medidas adecuadas de consentimiento y seguridad, existe el riesgo de que la privacidad de los usuarios se vea comprometida. Otra preocupación relevante es el posible sesgo inherente en los modelos de lenguaje AI. Estos aprenden de los datos con los que son entrenados, y si los datos contienen sesgos, como estereotipos o discriminación, existe el peligro de que los resultados generados por el modelo también reflejen esos sesgos, lo cual puede tener implicaciones negativas en términos de equidad y justicia. Es importante destacar que esta investigación no se centra exclusivamente en OpenAI o en Chat GPT, sino que es parte de un esfuerzo más amplio para garantizar el cumplimiento de la regulación de protección de datos personales en el contexto de la inteligencia artificial. La SIC está trabajando para evaluar si OpenAI ha implementado las salvaguardias y políticas necesarias para proteger la privacidad de los usuarios y cumplir con las regulaciones vigentes en Colombia. Es importante destacar que estas preocupaciones no están específicamente relacionadas con OpenAI o Chat GPT, sino que son desafíos generales asociados con el desarrollo y la implementación de tecnologías de IA en general. Las autoridades de protección de datos y otras organizaciones están trabajando en todo el mundo para abordar estas preocupaciones y establecer regulaciones y marcos éticos adecuados para el uso responsable de la IA. La investigación abierta por la Superintendencia de Industria y Comercio de Colombia a OpenAI y su aplicación Chat GPT refleja la creciente preocupación en torno a la privacidad y el uso responsable de los modelos de lenguaje AI. Si bien estos avances tecnológicos tienen un gran potencial, es fundamental abordar las preocupaciones de privacidad y protección de datos para garantizar un uso ético y seguro de la inteligencia artificial. La investigación en curso arrojará luz sobre cómo se están abordando estas preocupaciones y ayudará a impulsar el desarrollo de mejores prácticas en el campo de la inteligencia artificial y la protección de datos personales.

LEER MÁS
Ciberseguridad

SIC impone sanción a empresa por no documentar la política o documento de seguridad de la información

En resolución del año 2022 la SIC sanciona a la empresa CHARRY TRADING S.A.S, empresa responsable por el incumplimiento de documentar la política de seguridad de la información. De acuerdo con el deber exigido por la Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio, la omisión de la orden impartida por la entidad conlleva a la interposición de una sanción pecuniaria. La investigación inicia por medio de una orden administrativa interpuesta a la sociedad CHARRY TRADING S.A.S de carácter preventivo en donde debía documentar, implementar y monitorear una política de seguridad de la información que debía contener medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales de los titulares. La sociedad CHARRY TRADING S.A.S contaba con un sistema regulado de protección de datos, sin embargo, por omisión a la orden interpuesta no cumplió con los deberes de los Responsables del Tratamiento de acuerdo con el articulo 17 de la Ley 1581 de 2012 que expresa la obligación de cumplir las instrucciones y requerimientos que imparta la SIC. Teniendo en cuenta lo anterior, la SIC procedió a realizar la imposición y graduación de la sanción por la infracción al Régimen de Protección de Datos Personales conforme al principio de proporcionalidad de forma razonable que orienta el derecho administrativo sancionatorio. La SIC aclara varios puntos importantes: -Se debe lograr un equilibrio entre la sanción y la finalidad que la norma vulnerada establezca. -Proporcionalidad entre la gravedad de la infracción y la sanción aplicada. -Para efectos de la dosificación de la sanción, se tienen en cuenta los que establece el artículo 24 de la Ley 1581 de 2012, además se pueden tener en cuenta el tamaño de la empresa, sus ingresos operacionales y patrimonio. En el caso concreto la sociedad investigada se benefició del criterio de atenuación de la sanción establecido en la Ley 1581 de 2012, menciona que “el reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar”. Es así, que por medio de un análisis jurídico realizado por la SIC se llevó a la conclusión de la atenuación de la sanción, reconocimiento importante para las empresas y la legislación al momento de enfrentarse con situaciones de este índole. Proporcionar alternativas para el cumplimiento de la sanción sin desconocer la omisión demuestra la intención de prevalecer los derechos fundamentales y no fomentar la vulneración de estos.   Fuente: Resolución 88011 de 2022

LEER MÁS
RRSS
Habeas Data

Visión legal de las nuevas políticas de WhatsApp: ¿Cuál es el verdadero lio?

Por: Gloria C. Toffanello En conmemoración del 28 de Enero, en el cual se celebra el día internacional de protección de datos personales, es pertinente traer a colación un tema que ha causado controversia dentro del panorama de privacidad. WhatsApp es bien conocida por ser una plataforma de intercambio de mensajes, llamadas, y archivos, siendo generalmente la aplicación web/móvil número uno en descargas para comunicarse. Hace un mes, la plataforma informó a sus usuarios que debían actualizar a la versión más reciente, después de actualizar se desplegaba una ventana con un texto donde se indicaban las nuevas políticas de privacidad y términos y condiciones que regirían el uso de la app a partir del 8 de febrero del presente año, incluyendo una casilla de aceptación, que al no ser marcada, no dejaba proceder. Cabe a resaltar que dichas actualizaciones no se aplicarán dentro de los países que conforman la unión europea, ya que este se circunscribe a una normatividad restrictiva respecto al tratamiento de datos en medios electrónicos, aplicando el Régimen General de Protección de Datos o por sus siglas en ingles GDPR (Reglamento 2016/679). La situación causo grandes dudas en los usuarios, ya que entre las nuevas políticas se expresaba que WhatsApp al ser propiedad de Facebook se aplicaban las políticas de privacidad de esta última, y por tanto podían recopilar información referente a mensajes enviados, contactos, archivos, historiales de pago entre otra información relevante para quienes usan la Plataforma. Lo preocupante de esta situación, es que la economía y minería de datos determina con base en la información proporcionada, los perfiles más íntimos del usuario, permitiendo que se le ofrezca contenido publicitario que se identifique con sus gustos, siendo una medida invasiva y desproporcional frente a los principios legales sobre la protección de datos personales. Ante este hecho desbordaron noticias y menciones en las redes sociales denunciando el abuso de WhatsApp en cuanto al tratamiento de la información. En Colombia, la Superintendencia de Industria y Comercio, desde su Delegatura para la protección de datos personales, tomó partido dentro de la coyuntura, formulando un requerimiento a WhatsApp, instando a entregar un informe detallado sobre las medidas de seguridad y el tipo de tratamiento que esta realizaba sobre los datos personales de los colombianos que poseen cuentas de usuario en dicho aplicativo, con la finalidad de verificar si cumplen la regulación de la Ley 1581 de 2012. ‘#SICSuper inició actuación administrativa para establecer si @WhatsApp cumple o no con la regulación colombiana relativa a la recolección y tratamiento de datos personales, para lo anterior envió un cuestionario el cual deberá ser respondido por esta empresa de tecnología’. – Superintendencia de Industria y Comercio, nota informativa a través de la red social twitter, 16 de enero de 2021 En cuanto a la comunicación de la SIC, el Superintendente precisa los adelantos que ha tenido Colombia referente a las nuevas facetas de este derecho fundamental, “Los datos personales son un activo digital de los negocios pero también son un derecho de las personas. En las dos discusiones que ha habido en el mundo, los gigantes de tecnología siempre buscaron invisibilizar el valor que eso tiene porque siempre se confundió con algo que era un tema de información.” (…) “La Unión Europea lo que hizo fue avanzar y ser muy exigente en protección de datos, no solamente para proteger un derecho fundamental, sino porque con los derivados de esos datos se pueden construir muchas más situaciones, por ejemplo, temas que afectan al consumidor y a la competencia y de allí la gran discusión actual. Las plataformas per se han sido objeto de investigaciones de las autoridades de competencia porque los datos son un activo digital de ese negocio, pero además de eso generan unas externalidades en muchas otras líneas: la protección del consumidor digital, y cómo se comportan esas plataformas en el mercado.” – Andrés Barreto, superintendente de Industria y Comercio, Entrevista – Revista Semana, 18 de Enero de 2021. https://cutt.ly/bkeYgfU En el entretanto, WhatsApp realizó un comunicado público donde se anunciaba la extensión del término de actualización hasta el 15 de mayo de 2021, para permitir explicar a los usuarios las nuevas reformas y evitar confusiones sobre el cambio. “Con esta actualización, nada de eso cambió. La actualización incluye nuevas opciones para las personas que compartan mensajes con empresas en WhatsApp, y proporciona una mayor transparencia con respecto a la forma en que recopilamos y usamos los datos. Si bien hoy en día no todos los usuarios realizan compras a empresas en WhatsApp, consideramos que cada vez más personas elegirán hacerlo en el futuro, por lo que es importante que conozcan bien los servicios. La actualización no expande nuestra capacidad de compartir datos con Facebook” (…) “En este momento, posponemos la fecha en que se les pedirá a los usuarios que revisen y acepten las Condiciones. No se suspenderá ni eliminará ninguna cuenta el 8 de febrero. Además, tomaremos una serie de medidas para aclarar la desinformación con respecto a la forma en que funcionan la privacidad y la seguridad en WhatsApp. Luego, pediremos gradualmente a los usuarios que revisen la política a su propio ritmo antes de que se habiliten las nuevas opciones para empresas el 15 de mayo.” – Blog de WhatsApp, 15 de enero de 2021 https://blog.whatsapp.com/ De igual manera, este tiempo será prudencial para adaptar aquellas condiciones difusas ante posibles escenarios sancionatorios por parte de las entidades que regulan la protección de datos personales en los países donde funciona esta red social. Todo lo anterior, en definitiva, pone de presente el avance en la concientización de los usuarios respecto de la información que entrega y la expectativa razonable al recibir servicios de empresas que se lucran con sus datos. Asistimos poco a poco a la comoditización de la privacidad y auguramos que pronto nuestros datos serán, en realidad, moneda de intercambio.

LEER MÁS
Habeas Data

Habeas Data en Copropiedades en Colombia

Recientemente, la Superintendencia de Industria y Comercio, ha expedido una guía para la protección de datos personales en Propiedad Horizontal, haciendo énfasis que en dicho sector también se ejerce el tratamiento de datos de distintos grupos de interés. Con este precepto, la entidad resalta que no solo las empresas se encuentran obligadas a cumplir la normatividad referente en este tema, ya que, concluye que existen otro tipo de entornos diferentes que realizan estas actividades de recolección de datos con fines que cobija la ley. “El lanzamiento de este documento tiene como objetivo principal presentar sugerencias a todo el personal que en ejercicio de su labor recolecte o trate datos personales en edificios o conjuntos residenciales, ya sean comerciales o mixtos que estén sometidos al Régimen de Propiedad Horizontal, para que a través de la guía puedan orientarse y así cumplir correctamente la regulación sobre el tratamiento de estos datos.” – SIC, 2020. Esta guía interactiva contiene los puntos clave y recomendaciones para implementar de manera integrar un programa de protección de datos dentro de las copropiedades, así mismo, incluye una lista de chequeo o ‘checklist’ para diagnosticar el nivel de cumplimiento, que consigna los siguientes elementos: Recolección de datos solo para la finalidad indicada. Tener un inventario de bases de datos. Implementar formatos de autorizaciones para recolectar información. Disponer de Política de Privacidad y Aviso de Privacidad. Tener en cuenta las pautas para recolección de datos sensibles (biometría para ingreso a instalaciones, entre otros) Fomentar una cultura de protección de datos exigible y orgánica dentro de la Copropiedad. De igual manera, la SIC en su guía comparte enlaces a formatos útiles para el conocimiento de los elementos que debe tener cada documento. Desde el aspecto sancionatorio, debemos tener en cuenta que ya se han presentado varias investigaciones cuya decisión final radica en la imposición de multas pecuniarias, las cuales recaen directamente sobre el Administrador de la Copropiedad y su revisor fiscal, por ende, este tema cobra vital importancia dentro de las necesidades actuales dentro de la Propiedad Horizontal. En Marrugo Rivera & Asociados, te guiamos en el proceso de implementación de un Programa Integral de Protección de Datos Personales, el cual es elaborado a la medida y con base en los requerimientos reales de cada Copropiedad. Enlace Guía SIC – Protección de Datos Personales en Propiedad Horizontal 2020: https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia_prop_horizontal_NOV12_OK%20(1).pdf Enlace  SIC Check List – Protección de Datos Personales: https://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Publicaciones/Cuestionario_de_diagnostico_para_el_cumplimiento_de_la_Ley_1581_de_2012_en_las_Mipymes.pdf

LEER MÁS
DPO
Curso

Oficiales de Privacidad en Colombia. Este es su momento!

Decreto 620 de 2020 OFICIAL DE PROTECCION DE DATOS COMO FIGURA OBLIGATORIA EN COLOMBIA La figura del Oficial o Delegado de Proteccion de Datos – OPD ha cobrado vital importancia en los últimos tiempos, siendo este el principal protector de los deberes y derechos de los titulares de los datos personales, así mismo, tiene la labor de promover la correcta implementación de la regulación en Protección de Datos, a nivel interno de las empresas, con el fin último de fomentar una cultura organizacional de respeto en materia de información. Este oficio está respaldado legalmente por el artículo 23 del Decreto 1377 de 2013, ahora compilado en el 2.2.2.25.3.1 del Decreto 1074 de 2015, el cual propugnaba tener al niver empresarial una “Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización”, sin embargo, la ley en su interpretación, sugería que esta figura era de carácter facultativo, lo cual ha causado graves problemas y sanciones por parte de la Superintendencia de Industria y Comercio a las empresas por no contar dentro de su estructura orgánica a una persona que desempeñara estas funciones. Con la expedición del Decreto 620 de 2020, en el marco de la pandemia por el virus SARS Covid-2, la cual promueve la institucionalización de la ciudadanía digital (que modifica al Decreto 1078 de 2015), le da carácter obligatorio a esta figura, definiendo al OPD como pilar fundamental en cuanto al diseño de planes y monitoreo de actividades para el correcto tratamiento de datos personales. Según el decreto en comento, se definen las funciones del OPD en el artículo 2.2.17.5.4, con debida observancia en el principio de Responsabilidad Demostrada: Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales. Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales. Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada. Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos. Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces. Este ha sido un gran avance en la normatividad de habeas data en Colombia, entendiendo este concepto de ciudadanía digital como un escenario para que los ciudadanos puedan ejercer sus derechos de debida forma y con base en los principios que promueve la Ley de Protección de Datos Personales. Precisamente con este gran empujon normativo como referencia, nuestra firma realizará a partir del 07 de Julio el Curso de Actualizacion para Oficiales de Proteccion de Datos en Colombia, el cual será un programa ejecutivo 100% Online de 40 Horas de duracion en el que se buscará dotar a los Oficiales con herramientas y novedades para el ejercicio de su cargo. Una gran plantilla de docentes acompañaran esta version del Curso liderado por el Dr. Ivan Dario Marrugo J., Socio y CEO de la firma quien como DPO Certificado ve de suma importancia que el sujeto mas importante de todo Programa de gestion en materia de datos, renueve y refresque sus conocimientos con las ultimas tendencias y conocimientos sobre la materia. Todos los interesados pueden encontrar la informacion e inscribirse al Curso en el sitio diseñado para ello.

LEER MÁS
Habeas Data

La Historia Clínica Electrónica y La Protección de Datos Personales en Colombia.

Recientemente, se ha sancionado la ley que permite la creación de una historia clínica electrónica en Colombia y su interoperabilidad, esto con el fin de dar paso al uso de menos papel y la posibilidad de asociar la identificación de cada ciudadano con sus antecedentes médicos de manera inmediata. Debemos tener en cuenta que este paso innovador genera una serie de deberes por parte de las entidades prestadoras de salud y todo aquel autorizado para tal fin, ya que los datos contenidos en estas historias son datos de carácter sensible (como el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos relativos a la vida y orientación sexuales,  afiliación sindical, datos genéticos, datos relativos a la salud y datos biométricos que permitan la identificación unívoca de una persona) que sólo son necesarios para ciertas finalidades en el sector de la salud, de allí parte la obligación de la aplicación de prerrogativas legales estrictas en cuanto a su tratamiento, resaltando la confidencialidad de esta información previamente autorizada. Con base en lo anterior debemos resaltar los derechos constitucionales que se fundan como pilares de protección en esta ley, siendo el derecho a la salud y el derecho a la protección de los datos personales e intimidad. Artículo 49 Constitución Nacional. La atención de la salud y el saneamiento ambiental son servicios públicos a cargo del Estado. Se garantiza a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud. Corresponde al Estado organizar, dirigir y reglamentar la prestación de servicios de salud a los habitantes y de saneamiento ambiental conforme a los principios de eficiencia, universalidad y solidaridad. También, establecer las políticas para la prestación de servicios de salud por entidades privadas, y ejercer su vigilancia y control. Así mismo, establecer las competencias de la Nación, las entidades territoriales y los particulares, y determinar los aportes a su cargo en los términos y condiciones señalados en la ley. Los servicios de salud se organizarán en forma descentralizada, por niveles de atención y con participación de la comunidad. (…) Artículo 15. Constitución Nacional. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley. (…) Los retos que afronta esta Ley son la necesidad de la creación de protocolos integrales de protección de los datos personales que vayan de la mano con la reglamentación de la ley 1581 de 2012 y su decreto reglamentario 1074 de 2015, los cuales extienden su aplicación a los principios, derechos y deberes del titular en cuanto a la guarda de su información personal, que en este caso adquiere un carácter especial ya que deviene de la relación médico paciente; según el artículo 3 de la LEPD, dato personal y tratamiento se definen así: ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por:   c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;   g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Así mismo el Ministerio de Salud resalta quienes son los sujetos obligados y la prospección de la implementación de esta ley, promoviendo de manera inmediata la creación de una serie de procedimientos legales estandarizados para propender a la protección de los datos médicos. (…) “Se destaca que los prestadores de servicios de salud estarán obligados a disponer los expedientes de la historia clínica de los colombianos para que puedan ser consultados a través de una plataforma de interoperabilidad, es decir, que todos los sistemas se puedan comunicar para dar a conocer a los profesionales de la salud la historia clínica de cada colombiano.” (…) “A la Historia Clínica Electrónica solo podrán acceder a ella los sujetos obligados por la ley y las personas autorizadas por el titular de esa información.” (…) “El plazo máximo de implementación de esta Ley será de cinco años a partir de la entrada en vigencia y esta estrategia obedece a criterios donde se prioricen datos y sistemas existentes en los distintos prestadores”, resalta. No obstante, el modelo de interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de 12 meses.” – Min Salud, 2020 Desde el punto de vista anterior, este nuevo marco de normatividad legal aporta herramientas necesarias para la innovación en el país, concordando a un uso responsable y confidencial de la información para garantizar mejoras notables en el servicio a nivel nacional. Se pretende que esta ley sea el inicio de la digitalización de muchos documentos personales que se usan en formato físico, a transformarse a un formato digital protegido de acceso portable. [1] Ivan Dario Marrugo Jimenez. Abogado, especialista en Derecho de las Telecomunicaciones. Master en Proteccion de Datos de la Unir. Socio, Director General de Marrugo Rivera & Asociados. Experto en Derecho Informático, Ciberseguridad y Privacidad. Docente y Conferencista. [2] Gloria Toffanello de Leon. Abogada de la Universidad de Cartagena. Asociada de Marrugo Rivera & Asociados. Documentadora y consultora del área de Privacidad y Ciberseguridad de la firma.

LEER MÁS
Ciberseguridad

Brechas de seguridad: Cómo prevenirlas desde la perspectiva de la Ley 1581 de 2012

Recientemente, hubo una brecha de seguridad en la empresa colombiana Mensajeros Urbanos (plataforma para efectuar domicilios por internet), exponiéndose así, 2.4 millones de datos almacenados en el servidor en línea recogía la información depositada. Las empresas se exponen a fallas en su seguridad, y por consiguiente perjudican a los titulares al no implementar de manera correcta una infraestructura jurídica en protección de datos personales. En la normatividad Colombiana referente a la Protección de Datos Personales (Ley 1581 de 2012), debemos tener en cuenta que para el tratamiento de datos se requiere planificar e implementar medidas de seguridad pertinentes para cada proceso. De esta manera, el artículo 17 de la Ley 1581 de 2012 alude a los deberes que tienen los responsables del tratamiento de los datos para así garantizar los derechos de los titulares, enfatizando  en el literal ‘n’ la obligación de notificar sobre las a la entidad competente, que en este caso es la Superintendencia de Industria y Comercio, el cual expresa lo siguiente: “n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.” Sin embargo, el artículo no desarrolla de manera expresa las medidas de seguridad que se deben implementar para la protección de los datos, de esto se infiere que deben ser acorde con el tipo de tratamiento y atenerse a las situaciones particulares según el requerimiento de cada empresa, incluyendo el tratamiento de datos personales a través de Portales Web de ingreso masivo. En la resolución 21478 de 2019, la Superintendencia de Industria y Comercio Sanciona a la empresa propietaria de la Aplicación Uber, por no contar con las medidas necesarias para la protección de los datos de los titulares, ante esta necesidad, la SIC* en la mentada resolución estipula unas medidas básicas de seguridad en cuanto al tratamiento de datos personales a través de App’s y portales Web,  tales como las siguientes: Mecanismos de autenticación de usuarios y cifrado de información. Implementar test de seguridad de contraseñas. Inventariar información de las bases de datos, de información de personas reales e información para el desarrollo de la aplicación. Capacitar al personal en cuanto a la protección de datos personales, con el fin de fomentar una cultura de respeto y responsabilidad. Evaluar riesgos en cuanto a la protección de datos personales y elaborar planes de acción eficaces frente a las posibles contingencias. Hallar las vulnerabilidades del sistema para poder corregirlas (para ello recomiendo la realización de un proceso de Autoría en Protección de Datos, con el fin de verificar los controles implementados y evaluar vulnerabilidades). Implementar medidas de organización a nivel empresarial para ser aplicadas en todas las fases de programación en la aplicación móvil. Esto, con el fin de evitar vulnerar los derechos de los titulares en cuanto al tratamiento de sus datos personales, dado que este tipo de programas, y todo aquello que se realice mediante internet, es susceptible de fraude o de robo de datos por piratas informáticos, puesto que las brechas de seguridad ponen no sólo en peligro la información de los titulares,  sino datos personales sensibles de niños, niñas y adolescentes, que en gran medida pueden causar un perjuicio irremediable. Se hace énfasis en  la importancia de fortalecer el sistema de seguridad en cuanto al tratamiento de los datos personales de quienes ingresan a este tipo de plataformas (en ello incluimos a todo aquel que deposite sus datos en dicho portal), adecuando las políticas de protección de datos personales  y procedimientos de tratamiento de datos personales a lo establecido en la ley 1581 de 2012 y sus decretos reglamentarios. La Ley de Protección de Datos Personales en su artículo 18, literal b), expresa lo siguiente “b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;”, entendiendo que las empresas deben establecer procedimientos específicos de conservación de los datos para evitar pérdida de los mismos por brechas en la seguridad, priorizando los derechos de dichos titulares. Para ampliar nuestro espectro sobre el tema, podemos citar el caso de Colmedica, en el cual la SIC* sancionó a través de la resolución 39298 de 2016 a dicha empresa por la exposición injustificada y masiva sensible de salud por internet, poniendo en riesgo la privacidad e integridad de los pacientes que se cobijaban bajo ese sistema. Ahora bien, estos programas de gestión y manejo de incidentes de seguridad en datos personales deben ser evaluados de manera periódica a través de Auditorias, para poder identificar en la práctica las vulnerabilidades y robustecer aquellos puntos débiles que pueden desatar un posible fallo de seguridad, para esta labor, la SIC* publicó la Guía de Accountability o por su traducción Responsabilidad demostrada, que funge como herramienta de coordinación y establece las pautas adecuadas a nivel administrativo para demostrar el cumplimiento legal. De igual manera, es menester fomentar una cultura de  respeto en cuanto a la protección de datos a nivel organizacional a través de capacitaciones dinámicas y socializaciones de la ley de protección de datos personales, permitiendo así minimizar estas contingencias y promover un sentido de pertenencia y responsabilidad institucional.

LEER MÁS
Ciberseguridad

Caso Facebook: ¿Es necesaria una Auditoría de Protección de Datos en nuestra empresa?

La Ley 1581 de 2012 extiende su aplicación a la protección de datos personales y su tratamiento dentro de redes sociales (portales de internet de uso interactivo entre personas), cuyo uso se de en territorio colombiano, por ende, haciendo énfasis en  el principio de legalidad, todo acto que transgreda directamente los derechos de los titulares será regido por la normatividad nacional. Teniendo en cuenta el caso particular, Facebook es una red social de que alberga la información de 2,4 billones de personas, y de 31 millones colombianos, lo cual convierte a  Facebook en responsable del tratamiento de los datos personales (cuales obligaciones se encuentran reguladas en el artículo 15 de la ley 1581 de 2012) de todos los usuarios que circulan dentro de ella, indicando que los mecanismos de seguridad deben ser eficientes a la hora de proteger los datos personales de forma certera. En los últimos años, las brechas de seguridad en Facebook han aumentado de manera considerable, por ejemplo el caso de Cambridge Analytica (robo de datos con fines de marketing político), hurto de tokens para robar cuentas, acceso a material delicado en chats de usuarios, entre otras. Las entidades encargadas de velar por la protección de los datos en cada país (como Irlanda, Estados Unidos, Inglaterra, Países bajos, Alemania, Canadá entre otros) han emitido un informe al respecto del desarrollo de Facebook y su impacto en dicha nación, instando a los responsables de la red social que implemente auditorías internas en la  aplicación para evaluar el sistema de seguridad, en busca de identificar posibles fallas y así corregirlas. Así mismo, la Superintendencia de Industria y Comercio, por medio de la Resolución 1321 de 2019, hace un llamado a Facebook, sobre las obligaciones legales que debe cumplir como responsable del tratamiento de datos personales, las cuales se encuentran reguladas en el artículo 27 denominado ‘Políticas Internas Efectivas’ de la presente ley, además, hace énfasis en las obligaciones consignadas en ‘La Guía para Implementar el Principio de Responsabilidad Demostrada’ para la protección de datos personales, de la que destacamos las siguientes: Diseñar e implementar Programa Integral de Gestión de Datos Personales. Diseñar e implementar planes de revisión, supervisión, evaluación y control del Programa Integral de Gestión de Datos Personales. Demostrar el debido cumplimiento legal. Debemos tener en cuenta que esta resolución desarrolla un barrido informativo de recomendaciones de seguridad en conjunto con los informes de otros países, con el fin de emitir un primer llamado de carácter preventivo para evitar que sucedan incidentes con usuarios de cuentas de esta red social dentro del territorio nacional. En ese mismo sentido, la Superintendencia de Industria y Comercio reivindica a través de esta resolución la necesidad de realizar Auditorías en Protección de Datos para cumplir de manera integral con normatividad y crear una cultura organizacional de privacidad y seguridad de la información.  

LEER MÁS
Eventos

Capacitacion sobre Proteccion de datos personales en Entidades Publicas: El sector debe hacer mas esfuerzos en la materia.

Nuestro Equipo intervino en la Jornada de Sensibilizacion en Proteccion de Datos Personales en el Senado de la Republica. El pasado 16 de Julio, Andres Contreras P, Consultor Juridico e Ivan Dario Marrugo, Director General de la firma, dictaron la conferencia para personal del Congreso en el marco del Proyecto de Consultoria con esta importante entidad en Colombia. Conozca mas de nuestro equipo en https://bit.ly/2NYkBqN

LEER MÁS

Acceso Panel

Accede al administrador de la web