La protección de datos personales integral como elemento estructural del compliance empresarial.

La introducción del Sistema de Protección de Datos Personales en nuestro ordenamiento jurídico ya tiene más de diez años, sin embargo, todavía es muy común que se desconozca el alcance completo de las obligaciones del sistema en su dimensión integral. Los responsables “cumplen” con los elementos esenciales, pero de forma incompleta o incorrecta. Se tiene la creencia que, con la autorización previa genérica, la elaboración de las políticas y procedimientos de Privacidad y Tratamiento de Datos Personales y el registro de bases de datos en el Registro Nacional ante la autoridad competente (SIC), se está al día en esta materia y nada es más alejado de la realidad.

El Decreto reglamentario introdujo el principio de “responsabilidad demostrada” que implica que los responsables deben acreditar ante la SIC, a petición de esta, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones del régimen de protección de datos personales. Inclusive la SIC expidió una guía para el cumplimiento de estos presupuestos. En resumen, esto puede tener una dimensión de gestión interna y otra externa. A continuación, algunas de las medidas que se sugiere implementar para garantizar el cumplimiento efectivo del sistema:

  • Formación y educación al personal: se deben realizar (i) capacitaciones de carácter general para todo el personal, y, (ii) capacitaciones complementarias para el personal que maneje datos personales directamente, la cual debe estar enfocada a las funciones específicas de dicho personal. Estos espacios formativos y de actualización deben ser permanentes, es decir deben contar con un programa periódico y vigente. 
     
  • Compromisos de confidencialidad: se deben celebrar acuerdos de confidencialidad o incluir cláusulas de confidencialidad en los contratos de los trabajadores que manejen datos personales como consecuencia del desarrollo de sus funciones. La obligación de confidencialidad debe mantenerse incluso después de la terminación del contrato con el trabajador.
     
  • Autorización de tratamiento de datos cuando se utilicen sistemas de videovigilancia: en el evento en que se utilicen en las instalaciones sistemas de videovigilancia, se debe solicitar autorización de tratamiento de datos para la recolección, uso, archivo y demás tratamiento de los datos personales como la imagen y la voz. Para esto se pueden elaborar habladores o avisos o solicitar directamente autorización expresa en cada entrada.
     
  • Con los encargados del tratamiento – cuando la organización realice transferencias: los responsables deben tomar medidas razonables para asegurar que los encargados del tratamiento cumplan con la protección de datos, para lo cual se pueden implementar contratos de transmisión de datos o cláusulas específicas en los contratos correspondientes. Estas medidas pueden tomarse con cualquier persona a la que se transmitan datos personales, tales como contratistas (ej. Contratistas de gestión de archivo), proveedores (ej. Proveedores tecnológicos, agencias publicitarias), aliados, etc.

El cumplimiento en esta materia supone una serie de actividades y el uso de herramientas adecuadas e integrales al sistema. Es importante recordar que la SIC tiene la potestad sancionatoria hasta por 2.000 SMLMV a quienes infrinjan el régimen de protección de datos personales, entre otras sanciones.
 

Pulsa el botón si quieres recibir más información de nuestros expertos: