Futurlex

El Registro de Bases de datos y la Protección de los Derechos de los Ciudadanos

La importancia del Registro Nacional de Bases de datos RNBD se ve reflejada desde la Sentencia C-748 de 2011 de la Corte Constitucional, cuando avaló la expedición de la Ley 1581 de 2012, la cual establece que esta herramienta debe permitir a cualquier individuo determinar quién está tratando sus datos personales. Esto garantiza que las personas puedan tener un control efectivo sobre sus datos, al conocer claramente en qué bases se están manejando sus datos personales. Además, el RNBD cumple con la obligación legal de dar publicidad a la existencia de bases de datos de carácter personal, sirviendo también como una herramienta de supervisión para garantizar la efectiva protección de los derechos de los titulares de los datos. El Cumplimiento y los Retos en la Seguridad de los Datos A pesar de la importancia del RNBD, las estadísticas de la Superintendencia de Industria y Comercio (SIC) muestran un panorama preocupante: en promedio, solo el 36.35% de los Responsables del Tratamiento han cumplido con los requerimientos de seguridad indagados por la SIC en el formulario del RNBD en 2023. Esto significa que más del 63.65% de las empresas (grandes y medianas) y las entidades públicas declaran no haber implementado medidas adecuadas y efectivas para garantizar la seguridad de los datos personales. Este dato es alarmante si consideramos que la muestra abarca a 34.402 organizaciones que registraron bases de datos en el RNBD entre 2015 y 2023. Esto refleja la necesidad urgente de no solo contar con herramientas de registro y supervisión, sino también de asegurar que se implementen medidas efectivas para proteger la privacidad y seguridad de los datos personales. Según la normativa vigente, solo las empresas u organizaciones con activos superiores a 100.000 Unidades de Valor Tributario (UVT), equivalentes a $4.706.500.000 COP para el año 2024, tienen la obligación de registrar y mantener actualizadas sus bases de datos en el RNBD. Esta medida busca asegurar que las entidades con un alto volumen de activos cumplan con los estándares de seguridad y privacidad establecidos para el tratamiento de datos personales. La Ley 1581 de 2012 y sus decretos reglamentarios subrayan la relevancia de contar con una política de tratamiento de datos sólida y efectiva. Esta política no solo es un requisito para el registro de bases de datos en el RNBD, sino que también impone obligaciones tanto a los responsables como a los encargados del tratamiento de datos. El incumplimiento de estas políticas conlleva consecuencias legales graves, incluidas sanciones proporcionales a la gravedad del incumplimiento. Estas políticas no pueden ser menos estrictas que los deberes establecidos por la ley, lo que subraya su importancia para la protección y el manejo adecuado de los datos personales. Fechas Clave y Obligaciones en el RNBD Es importante recordar que, a más tardar el 23 de agosto de 2024, se debe efectuar en el sistema del RNBD de la Superintendencia de Industria y Comercio el reporte de reclamos interpuestos por los titulares de datos en el primer semestre del año 2024. Este reporte deberá incluir los reclamos presentados tanto al Responsable como al Encargado del tratamiento y se efectúa de acuerdo con la lista de tipologías de reclamo incluida en el Manual de Usuario del RNBD. Además, hay otros eventos que requieren actualizaciones obligatorias de la información consignada en el RNBD: Cambios sustanciales en la información consignada: La actualización debe hacerse dentro de los primeros diez (10) días hábiles del mes siguiente a su ocurrencia. Generación de una nueva base de datos: Su registro en el RNBD debe realizarse en un tiempo no mayor a dos (2) meses siguientes a su creación.  

Reporte de reclamos ante el RNBD vence el 23 de Agosto. IMPORTANTE

BOLETIN DE ACTUALIZACION De conformidad con lo establecido en el decreto 1074 de 2015 y el numeral 2.3 de la Circular 003 de agosto de 2018 de la SIC les recordamos a los responsables de tratamiento de datos personales: sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT y personas jurídicas de naturaleza pública que dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de la inscripción de la base de datos deben actualizar la información de los reclamos  presentados por los Titulares. El primer reporte se deberá realizar el segundo semestre de  2019 con la información que corresponda al primer semestre de 2019, plazo que vence el 23 de agosto del presente año.   ¿Cómo lo hacemos? De manera breve explicaremos el procedimiento: Para registrar una novedad, el usuario en su sesión debe dirigirse al módulo “Inscribir Bases de Datos” y posteriormente dar click en el botón Reporte de Novedades como aparece a continuación: Se da click en “Reporte de Novedades” y se habilitarán dos opciones, tal como se muestra a continuación: “Reclamos presentados por los titulares” y “Registro de Novedades de Eliminación de Base de Datos” Ahora, hacemos click en reclamos y diligenciamos las siguientes casillas, una vez terminemos de diligenciar la casilla de ‘Adicionar información de reclamos’, en ‘Cargar información de reclamos’ subimos el documento en formato txt con la relación de información. En el Manual de Usuario de RNBD de la SIC se encuentra una tabla explicativa con el tipo y detalle de reclamo a registrar, por ello, debe revisarse para diligenciar los formatos en  la casilla de ‘Adicionar información de reclamos’, es obligatorio llenar todos los formatos, de lo contrario el archivo no cargará y tendremos que repetir el procedimiento. Importante: Cuando haya eventos o cambios sustanciales en la información inscrita en la RNBD, se debe actualizar dentro de los 10 primeros días hábiles de cada mes. Si tienes inquietudes, puedes encontrar nuestros datos de contacto aqui!

El Oficial de Proteccion de Datos en Colombia: La figura clave en materia de privacidad.

La figura del que a nivel global se conoce como Oficial de Proteccion de Datos, ha estado fuera los focos en Colombia, principalmente por la exposicion sobredimensionada del Registro Nacional de Bases de Datos. No obstante, el elemento cardinal dentro del Programa de Gestion en materia de datos personales viene a ser el OPD. Tanto en su consagracion legal y reglamentaria (La Ley 1581 de 2012 y el Decreto 1377 de 2013 lo establecen) en Colombia es obligatorio que las empresas y entidades, definidos como Responsables y Encargados del tratamiento, nombren un Delegado para todos los asuntos relacionados con la proteccion de los datos en la organización. Su rol debe consistir en una combinacion de habilidades estrategicas y operativas, ubicandose tradicionalmente (Aunque no es un imperativo) en las areas legales, de cumplimiento o auditoria. Con el fin de dotar a los Oficiales de Proteccion de Datos, globalmente vienen poniendose en marcha iniciativas importantes de formacion y el Reglamento Europeo de Proteccion de Datos RGPD, ha trazado el norte al regular en forma uniforme su figura. Asi mismo, Colombia ya habia dado pasos en este sentido al expedirse la Guia de implementacion del principio de responsabilidad demostrada (Accountability) en el que claramente se entiende que el OPD debe ser el corazon del Programa de gestion en materia de datos. Con ello en mente, la Asociacion Española para la Calidad en conjunto con Govertis y de manera estrategica local Marrugo Rivera & Asociados, han desarrollado un Curso Avanzado para el Oficial de Proteccion de Datos que inicia el proximo 21 de Marzo en modalidad 100% online y clases tutorizadas. Los participantes en el Programa Avanzado OPD/DPO adquirirán los conocimientos avanzados y las competencias necesarias para consolidar su experiencia y desempeñar con excelencia el rol de un OPD/DPO. Específicamente el programa tiene los siguientes objetivos: El programa ofrece una visión detallada y comprensiva de la protección de datos y la labor del Oficial en Colombia y a nivel global, describiendo su perfil acorde con la regulación y las exigencias que actualmente demandan sus obligaciones. Dominar los conocimientos avanzados teóricos y prácticos necesarios para la adecuación de una organización a la norma colombiana y en conjunto con el RGPD en su cumplimiento y requisitos. Adquirir la capacitación, habilidades y competencias avanzadas necesarias para desempeñar los diferentes roles (tanto responsable de seguridad como OPD/DPO) que la legislación de protección de datos requiere en una organización y las tareas que ello conlleva a nivel práctico. Los interesados pueden inscribirse directamente en https://opd.aec.es pudiendo optar por pago fraccionado y obteniendo un 10% de descuento presentando el codigo MAR001 en su inscripcion.

Proteccion de Datos en Colombia, Perspectivas al 2019

El pasado Martes 27/11 hemos organizado en nuestra Oficina de Proyectos de Medellin, una charla con el objetivo de presentar importantes aspectos de la Proteccion de datos que tendran lugar en Colombia y el mundo desde una vision prospectiva. Nuestra Regional Partner, Claudia Elena Escobar, nos presentó los retos que se avecinan en materia regulatoria y la influencia del Reglamento Europeo de Proteccion de Datos – RGPD en Colombia y Latinoamerica. Gracias a todos los que nos acompañaron! Como siempre estaremos compartiendo mas eventos y oportunidades proximamente.

RNBD para entidades publicas, o la Tormenta perfecta!

Todas las entidades públicas en Colombia deben registrar sus bases de datos ante la SIC. Y su plazo vence el próximo 31 de enero de 2019. Hasta ahí, no parece preocupante la situación. Poco o nada se sabe del proceso (que ha causado dolores de cabeza entre los empresarios) para las entidades públicas. Es tan difuso el tema que no se sabe a ciencia cierta cuantas entidades deben hacer el trámite, quien en la entidad es el encargado de hacerlo, ni mucho menos como cumplir con la Ley 1581 de 2012 en el sector público. Como se sabe, el modelo colombiano de Proteccion de datos, tiene un corte principalmente dirigido al sector privado; no obstante, no puede perderse de vista que la Ley es aplicable a todo tipo personas, naturales o jurídicas, públicas o privadas. Y aquí empiezan los problemas: si bien a principios de año, a través del Decreto 090 de 2018, el Ministerio de Comercio, delimitó el universo de personas que debían realizar el famoso RNBD, no se excluyó ni se limitó nada respecto de los entes públicos. Asi las cosas, haciendo un análisis detallado de la situación, hasta la institución pública más pequeña (Por presupuesto o por número de funcionarios) tendrá que cumplir con dicho registro. Pero ahi no para la cosa… quiere lo anterior informar que TODAS las entidades públicas, es decir Ministerios, Departamentos Administrativos, Superintendencias, Organismos, Agencias, Institutos, Departamentos, Distritos o Municipios de Colombia deben cumplir con esta importante obligación. En Colombia existen más 3.500 entidades públicas en todos los niveles y de ellas realmente pocas han realizado el RNBD. La situación además de preocupante debe llamar la atención dado que a pesar que el régimen de Proteccion de datos (a diferencia de lo que ocurre en países que tienen una agencia o autoridad de datos independiente), no castiga con sanciones pecuniarias a las entidades, sin embargo señala la norma y así fue interpretado por la Corte constitucional, cuando la SIC advierta posibles incumplimientos por parte de autoridades públicas, dará traslado a la Procuraduría General de la nación para surtir la correspondiente investigación. Es decir, incumplir una de las obligaciones más llamativa del Régimen colombiano de protección de datos, puede significarles a los funcionarios públicos una investigación disciplinaria con posibles consecuencias negativas. Por lo anterior, el llamado Urgente es a las entidades en todo orden y nivel a que adelanten de manera prioritaria las acciones que les permitirán cumplir con el registro, teniendo en cuenta las particularidades propias de un ente estatal. Entre las actividades a realizar estarían: Inventario de Activos y de Bases de datos (manuales y automatizadas), gestion de terceros con manejo de datos, diseño del cuerpo de autorregulación (Políticas, Aviso, Autorizaciones en datos sensibles y para casos en los que se requiera), formalización y nombramiento oficial del Delegado de Proteccion de datos OPD, atención de los derechos a Conocer, Actualizar, Rectificar y Suprimir (CARS) de los titulares. La tarea sin dudas es retadora; no obstante, el rápido despliegue de acciones sobre estos asuntos significará el cumplimiento de los postulados de la Ley 1581 de 2012 y permitirá a la entidad demostrar su apego a la norma.  

Sociedades de Economía Mixta si deben inscribir sus Bases de datos teniendo en cuenta sus activos.

La Superintedencia de Industria y Comercio a través de concepto recordó que las Sociedades de economia Mixta si estan obligadas a registrar las Bases de datos de conformidad con los postulados de la Ley 1581 de 2012 y su decreto reglamentario 1074 de 2015; en particular teniendo en cuenta los plazos señalados en el Decreto 090 de 2018. Debe tenerse presente que inicialmente todas las empresas y personas naturales que tuvieran la calidad de responsables del tratamiento de datos personales, indistintamente de su naturaleza o de su tamaño, estaban obligadas a inscribirse ante el Registro Nacional de Bases de datos. Esto cambió con la entrada en vigencia del Decreto 090 en enero de 2018, cuando el Ministerio de Comercio, Industria y Turismo, señalo que con el fin de simplificar tramites de las Mipymes, solo debian registrar las Bases de datos las consideradas Grandes y Medianas empresas y todas las entidades publicas. Pues bien, en el Decreto no se menciono a la Sociedades de economia mixta, aquellas en las que el estado en cualquier orden tiene participacion accionaria. En este sentido, a traves del concepto 18-36981 aclaró que el Decreto 090 de 2018 a través del cual fueron modificados los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 no establece distinciones frente a las sociedades ni toma como factor determinante la participación accionaria del Estado en la conformación de las mismas. En consecuencia y en relación con sociedades de economía mixta, se deberán tener en cuenta los términos establecidos en los numerales a) y b) del artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 modificado por el Decreto 090 de 2018 relativos a los plazos de las sociedades. En conclusion, dichas sociedades deberan tener en cuenta sus activos para definir su plazo de vencimiento asi: a. Sociedades de economia mixta con activos superiores a 610.000 UVT (+$20.225.160.000) vence el plazo el 30 de Septiembre de 2018. b. Sociedades de economia mixta con activos entre 100.000 y 610.000 UVT (entre +$3.315.600.000 y $20.225.160.000) vence el plazo el 30 de Noviembre de 2018. Finalmente resaltamos la importancia de aclarar que todas las empresas y entidades, aun aquellas que no deben realizar el RNBD, SI deben cumplir con el resto de obligaciones incorporadas por la Ley 1581 de 2012 y consideramos que para las sociedades de economia mixta si aplican las sanciones economicas (Hasta 2000 smlmv) que señala el Regimen de proteccion de datos en Colombia.

El RNBD nuevamente sufre modificaciones: Solo Medianas y Grandes empresas deberan registrar bases de datos ante la SIC.

Nuevamente el Registro Nacional de Bases de Datos es modificado. Por tercera ocasion se amplian los plazos para que los sujetos obligados cumplan con esta importante obligacion de transparencia frente al manejo de los datos de terceros. Si bien se ha tenido suficiente tiempo, lo cierto que es las empresas no entienden su utilidad ni su justificacion. Con esta ultima modificacion, el Gobierno ha anunciado ademas de la ampliacion en las fechas, una reduccion significativa para las organizaciones que deben cumplirlo. En efecto, a traves del Decreto 090 de 2018, el Ministerio de Comercio, Industria y Turismo cambió el ambito de aplicacion frente al Registro, ya que en un principio toda entidad de naturaleza publica o privada, aun las personas naturales que trabajaran con datos personales, debian hacerlo. Analizado en forma practica dicha modificacion se tiene en principio, tres momentos especificos en los cuales operaran los vencimientos para los nuevos obligados: 1. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Grandes empresas. Es decir aquellas con activos superiores a $20.225.160.000 (610.000 UVT). Plazo: Hasta Septiembre 30 de 2018. 2. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Medianas empresas. Es decir aquellas con activos entre $3.315.600.000 y 20.225.159.999 (Entre 100.000 a 610.000 UVT). Plazo: Hasta Noviembre 30 de 2018. 3. Personas Jurídicas de Naturaleza Publica. Plazo: Hasta el 31 de Enero de 2019. Debemos anotar que estos cambios no han estado exentos de criticas. Lastimosamente la Autoridad Colombiana en materia de datos personales ha dado un rasgo netamente mercantil a la proteccion de datos. En la practica muchos tratamientos de datos sensibles se dan por instituciones pequeñas como Instituciones de Salud, Colegios y Universidades y por ende tal actividad debe estar en el foco de vigilancia de la entidad. Es nuestro parecer que no se cumplen los postulados señalados por el Art. 25 de la Ley 1581 de 2012 y avalados por la Corte Constitucional, en cuanto al RNBD como herramienta para garantizar los derechos de los titulares de datos.

Una cosa es registrar Bases de Datos y otra cumplir con la Ley 1581 de 2012

No hay duda alguna que la Privacidad ha logrado posicionarse, en los últimos años, en los primeros escaños de los intereses corporativos. Es por ello que hoy se conoce como el derecho fundamental del Siglo XXI. Colombia, no ha sido ajena a este reconocimiento, y pese a que tardamos en desarrollar normativamente estos aspectos, hoy tenemos un marco robusto que propende por el respeto de la intimidad y su evolución en el derecho de protección de datos moderno. A partir de la expedición de la Ley de Habeas Data y sus normas reglamentarias, se ha puesto en marcha todo un macrosistema que involucra a las empresas, personas, entidades públicas y organizaciones en los que el intercambio de información personal es una constante y donde se demanda la gestión proactiva, el desarrollo de complejos mecanismos y estrictas condiciones en el manejo de información por parte de los involucrados y por ende el respeto de los derechos de los titulares de datos. En particular, la Ley 1581 de 2012 Estatutaria de la Protección de Datos Personales, los decretos 1377 de 2013 y 886 de 2014 – Hoy incorporados en el D.U 1074 de 2015, las circulares 02 de 2015 y 01 de 2016 de la SIC y el Documento: Guía de implementación del principio de responsabilidad demostrada, componen el marco normativo de obligatorio cumplimiento en Colombia para trabajar con datos personales. Es en este contexto en el que surge la obligación de registrar las bases de datos ante la Superintendencia de Industria y Comercio, la cual hace parte de un entramado de requerimientos para las empresas, que básicamente deben demostrar que manejan bien la información propia y de terceros. El Registro Nacional de Bases de Datos, fue desarrollado por el Art. 25 de la Ley y se encuentra en funcionamiento desde el 09 de Noviembre de 2015, (a pesar que el plazo para cumplir con esta obligación ha sido ampliado en dos ocasiones con el fin de que las empresas logren comprender su gestión frente a la información). No obstante lo anterior, subsisten inquietudes generalizadas sobre el RNBD y más aún, muchas empresas desconocen su responsabilidad en este aspecto o peor, no le han dado la importancia que merece. Es así que para el próximo 31 de Enero de 2018, las Personas Jurídicas inscritas en Cámaras de Comercio y las Sociedades de Economía Mixta, deberán reportar ante la SIC que tipo de información manejan y cuáles son las medidas que han adoptado para trabajar con seguridad, confidencialidad e integridad sobre los datos. Ahora bien, es importante RECALCAR que registrar las Bases de Datos no significa per se que se cumpla con la Ley. Muchas empresas desconocen que más allá del reporte, lo que en últimas se requiere, es que se proteja la información. Tal vez por ello, muchas organizaciones aún no han dado pasos frente al Registro y otras tantas lo han realizado como un simple trámite, lo que a la postre puede ser perjudicial. Por lo anterior, es sumamente peligroso que se confunda Registrar las bases de datos con la obligación de implementar la Ley 1581 de 2012 en las organizaciones. Otro aspecto de total RELEVANCIA son los tiempos para el desarrollo de un Programa Integral de Gestión en materia de datos personales, es hacia este norte el que deben dirigirse las compañías y ello requiere de la inversión de un tiempo y esfuerzo considerable. Por esta razón como Firma experta en Protección de Datos, Seguridad de la Información y Derecho Informático, continuaremos ejecutando diversas iniciativas tendientes a trabajar ambos requerimientos, informando a las organizaciones sus deberes frente al Registro sin perder de vista el resto de obligaciones en la materia. Si desea conocer nuestros servicios o requiere de atención personalizada no dude en contactarnos. www.marrugorivera.com

Nuevo Decreto amplia el plazo para Registrar las Bases de Datos en Colombia.

El Gobierno Colombiano mediante el Decreto 1115 de Junio 29 de 2017 procedió a ampliar nuevamente el plazo para llevar a cabo el Registro Nacional de Bases de Datos. Mediante esta norma, el Ministerio de Comercio, Industria y Turismo, modificó el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015, que es el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, ampliando el plazo para el registro de las bases de datos por un periodo de 6 meses más (para las sociedades de economía mixta y las personas jurídicas de derecho privado inscritas en cámaras de comercio), esto es, hasta el 31 de enero del 2018.   Tal como lo establece las consideraciones del Decreto, la ampliación del termino previamente fijado para el registro de las  bases de datos, busca “una mayor divulgación y socialización de esta obligación por parte de la Superintendencia de Industria y Comercio.”   Con este plazo, las empresas tendrán un tiempo mayor en cumplir con una de las obligaciones derivadas de la Ley 1581 de 2012, normativa sobre Privacidad y protección de datos personales en Colombia. Desde Noviembre de 2015 inició el proceso de inscripciones ante el Registro pero ha sido un proceso lento e incomprendido en las organizaciones, que poco a poco despiertan ante la realidad frente al control y la transparencia que deben ofrecer en sus procesos de administración de información personal.   Marrugo Rivera & Asociados y su marca FuturLex, ofrecen servicios de consultoría especializada en Derecho informático y vienen trabajando con empresas a nivel nacional en el cumplimiento de la Ley y el Registro. Si requiere consultar o ampliar esta información puede ingresar a www.marrugorivera.com

Sancionan a Falabella por enviar correos electronicos sin autorización.

Por reiteración de correos electrónicos no solicitados, Falabella recibe sanción por $137 Millones de pesos en Colombia.[i] Por medio de la Resolución 85652[1] del pasado 13 de Diciembre de 2016, la Direccion de investigaciones de la Delegatura de Proteccion de datos personales de la Superintendencia de Industria y Comercio sanciono a la Sociedad Falabella de Colombia S.A., por violación al régimen de protección de datos en Colombia a raíz de una investigación por denuncia de un ciudadano que no había autorizado el envío de correos electrónicos. Los Hechos A partir de una compra realizada en el portal www.falabella.com.co el denunciante narro que al momento del diligenciamiento de sus datos, expresamente desmarco las casillas para envío de contenidos publicitarios tanto al correo electrónico como por medio de mensajes de texto. Mediante varios correos el quejoso elevo peticiones a la empresa con el fin de ser excluido del envío de mensajes no autorizados, los cuales fueron desatendidos, como se desprende de la investigación, por Falabella de Colombia S.A. El material probatorio recaudado en el curso de la investigación permite concluir, prima facie, que la sociedad sancionada siguió remitiendo comunicaciones de tipo publicitarios hasta dos meses después de haber recibido la oposición inicial por parte del titular de los datos. El fondo del asunto La Autorización: Como hemos reiterado en distintas ocasiones, la autorización en Colombia es pieza fundamental para el tratamiento de los datos. Siguiendo el derrotero filosófico de la anterior directiva de protección de datos europea, el consentimiento materializa la expresión de los principios de libertad, legalidad y finalidad contenidos en la Ley 1581 de 2012. Es por ello que reviste de capital importancia atender procedimientos adecuados frente a este punto; lejos de ser una cuestión menor, este elemento es el que ha puesto en aprietos a las empresas Colombianas en el cumplimiento de la Ley de protección de datos. En efecto, la correcta administracion de las autorizaciones supone una actividad permanente y dedicada, que en ocasiones comporta problemas logísticos – cuando se trata de millones de titulares – y que impone un deber de cuidado mayúsculo para las empresas. Guardar prueba de la autorización en ocasiones no es sencillo y los requerimiento de titulares frente a este punto puede generar dolores de cabeza, si la empresa no ha dispuesto (o es débil en), los procedimientos para atenderlos. Al parecer y esta sanción puede ser un ejemplo de ello, las empresas continúan restándole importancia al tema de las autorizaciones y con el Registro de las Bases de datos, esta situación se está haciendo palmaria. Deber de conservación de información: Uno de los argumentos esbozado por la sociedad investigada fue el deber que tenia de conservar información aun posterior al proceso de eliminado de información. Recuérdese que el régimen de protección de datos no deroga otras normas sustantivas sobre administracion y gestion documental. Es claro que por simples hechos como la generación de copias de seguridad y el almacenamiento y conservación con fines históricos, hace necesario que las empresas guarden información personal aun cuando esta es objeto de debate por el titular de los datos. La eliminación total de los datos personales es un supuesto que rara vez ocurre y en ocasiones esta pretensión se ve satisfecha con la inactivación de ciertos elementos del registro en la base de datos o el marcado con ciertas condiciones del mismo en la tabla a la que pertenece. Estas cuestiones técnicas tienen una mayor preponderancia cuando se trata de reclamaciones en el uso de información y requieren de una labor coordinada entre las áreas de privacidad y el área de soporte tecnológico o infraestructura en las organizaciones. Procesos de Atención de Derechos de los titulares: Nuevamente una falla en la correcta atención al titular de los datos, genera una sanción por el régimen de protección de datos. El literal j de la Ley 1581 de 2012 señala expresamente que el Responsable del tratamiento tiene el deber de Tramitar las consultas y reclamos formulados en los términos señalados en la Ley. Este deber se ve reflejado en la construcción y mantenimiento de un Sistema de Atención al Titular de los datos frente al ejercicio de los derechos derivados del Art. 8 de la Ley. Existe un manejo descuidado, con cierta generalización en las empresas, afincado en el entendido que este asunto es algo sin importancia. Grave error cometen las empresas – sobre todo aquellas que administran muchos datos de usuarios, clientes o asociados- cuando no tienen procesos robustos para la atención de las consultas y reclamaciones y peor aun cuando los procesos de PQRS no están alineados con los de protección de datos. Estas inconsistencias pueden derivar en que no se atiendan en tiempo (Recuérdese que los términos de la Ley y su reglamento son perentorios y en ocasiones difieren de otros sistemas como los de servicio al cliente) o que no se resuelva el fondo de la petición, lo que activa el derecho de presentar una queja a la Superintendencia de Industria y Comercio. Por otra parte, el caso específico también nos muestra algo que ocurre en muchas organizaciones: El corto circuito que existen entre distintas áreas cuando de administracion de datos personales se trata. Alguien en Falabella falto al deber de cuidado en desmarcar una opción para envío de correos electrónicos a ese titular de datos; tal como ocurrió en un caso anterior con otra empresa de comunicaciones en Colombia, el envío de mensajes representa imposiciones de sanciones pecuniarias con ciertos montos que impactan no solo el tema financiero, sino la reputación de las empresas. La sanción Considero la SIC a través de la Delegatura de protección de datos, que la sociedad sancionada no podía alegar imposibilidad en la supresión de los datos del titular. Si bien con seguridad la relación entre ambos se suponía en un entorno contractual (Compraventa de un bien), también es importante señalar que el titular simplemente se oponía al envío de información publicitaria a su correo electrónico. Esto es algo que las empresas deben prestarle la debida atención;

Acceso Panel

Accede al administrador de la web