La nueva normalidad o realidad que nos trajo el Covid 19, hizo que la cantidad de empresas digitales sea mayor y la experiencia con los usuarios mas exigente, generando muchas oportunidades de relacionamiento, posicionamiento, nuevos proyectos de innovación y crecimiento en ventas, donde gigantes tecnológicos como Microsoft, Google, Amazon, Facebook o Netflix han cambiado la forma de explotar la información almacenada en su base de datos de clientes y que para las pequeñas y medianas empresas, estos cambios trae nuevos retos y riesgos asociados a la seguridad y protección de los datos personales.
Uno de los grandes retos es el correcto manejo y tratamiento de datos e información sensible por medio de aplicaciones móviles que con el trabajo desde casa genera sensaciones de privacidad, aumentando los riesgos al usar equipos y aplicaciones inseguras, sistemas operativos obsoletos además del uso de servicios gratuitos que para sostenerse, venden los datos de las tendencias y los comportamientos del usuario a empresas que buscan la venta de sus bienes y servicios.
Esta claro que dentro de una empresa, las áreas o departamentos se benefician de tener acceso a las base de datos de clientes, proveedores, empleados etc. Por ejemplo las empresas que aprovechan la información de sus clientes, pueden crear una relación más personal y abrir nuevas vías de comunicación que pueden ser más efectivas, personalizando los mensajes para tener una comunicación mas asertiva y de valor.
Una forma de reunir más información sobre los clientes es haciéndoles preguntas o encuestas. El problema es que muchos usuarios no confían en dar sus datos sin obtener nada a cambio. La única forma de lograr que los compartan es a través de una experiencia de usuario fantástica que les proporcione beneficios tangibles a cambio de la participación y, asimismo, darles la seguridad de que esa información sensible se utilizará de manera responsable.
No obstante, el buen manejo de la información y los datos personales trae efectos positivos en la transformación digital y productiva de las empresas, aprovechando el crecimiento del comercio electrónico y los servicios virtuales al proteger los datos personales de sus usuarios como garantía de relaciones comerciales que minimicen incidentes digitales y eviten la vulneración de sus derechos, lo cual también les permitirá implementar campañas de mercadeo en un ámbito de autorización y confianza.
Es necesario que las empresas implementen mecanismos y protocolos que generen seguridad y eviten la perdida de datos y la suplantación de identidad en los procesos de compra y venta, de tal manera que se dé aplicación a los principios que pide la ley de protección de datos personales y se considere el cumplimento normativo como una oportunidad de mejora y diferenciación, y no como una imposición legal, que le permita a la empresa cumplir con sus objetivos comerciales previniendo ser objeto de auditorias por parte de la SIC que pueden derivar en sanciones económicas a la empresa.
De acuerdo con la Resolución 003 de 2018 de la Superintendencia de Industria y Comercio, las empresas Colombianas que reportarón sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD), deben actualizar dicho registro cada año como se indica a continuación:
- Dentro de los primeros diez (10) días hábiles de cada mes durante el año, cuando se realicen cambios sustanciales en la información reportada.
- Anualmente, entre el 2 de enero y el 31 de marzo.
- Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, por reclamos presentados por los Titulares.
- Reporte de incidentes de Seguridad que se debe hacer dentro de los quince (15) días hábiles posteriores al momento en que se detecta el incidente.
- Por creación de nuevas bases de datos se deben reportar dentro de los dos (2) meses siguientes a su creación.
Actualización de cambios generales y sustanciales:
Es de tener en cuenta que la actualización del RNBD, es con el objetivo de mantener informada a la SIC de los cambios que han tenido las bases de datos con datos personales que están en poder de los responsables, estos cambios debe quedar reflejado en la actualización. En el caso de que las bases no tengan cambios en su estructura o numero de registros, de igual forma se debe reportar al RNBD para cumplir con lo exigido por la ley 1581.
En la nueva normalidad las empresas que están en el proceso de transformación y mejora continua, deben estar revisando sus procesos, procedimientos, riesgos y medidas de seguridad para respaldar y garantizar lo que dicen sus políticas, pero sobre todo para proteger el activo mas valioso, los datos personales y la información.
Es por esto que muchos de estos cambios son considerados sustanciales y de mucha importancia informarlos a tiempo a la SIC para demostrar compromiso, gestión y responsabilidad, lo que significa dedicación, tiempo, organización y trabajo por parte del oficial de protección de datos y el comité encargado.
Cambios sustanciales:
Los cambios sustanciales están referenciados en la ley de la siguiente forma:
- Cambios en la finalidad de la base de datos objeto del tratamiento.
- Cambios de Encargado del Tratamiento de datos personales, estos se dan por proveedores nuevos que contrate la empresa.
- Cambios a los canales de atención al Titular para atender consultas, quejas o reclamos.
- Cambios derivados de la clasificación o tipos de datos personales almacenados en cada base de datos.
- Cambios asociados a las medidas de seguridad de la información implementadas, controles técnicos y procedimentales.
- Cambios a la Política de Tratamiento y privacidad de la Información.
- Cambios relacionados por transferencia y transmisión internacional de datos personales.
El cumplimiento de la ley, no es contar solamente con la política o manual, sino ejecutar todos los requisitos de una forma practica, operativa y real en la empresa, lo cual reflejara una cultura de seguridad y confianza para los titulares que entregan sus datos personales y para SIC, una labor bien realizada.
Reporte de reclamos:
Los reclamos presentados por los titulares de los datos personales se deben reportar hasta el 19 de febrero de 2020. Después de realizar el reporte de reclamos al RNBD, se generara el radicado respectivo. Si no hay reclamos presentados, se deberá dejar constancia del reporte realizado.
Nota: Es importante tener en cuenta que cada actualización que se realice al registro RNBD, debe contar con un documento que respalde dicha acción, con el fin de documentar el procedimiento y la gestión realizada, de manera que en caso de algún incidente, revisión o auditoria de la SIC quede la trazabilidad y permita tener un soporte del proceso operativo de control que fue realizado y a la vez pueda ser usado para demostrar cumplimiento de la ley y gestión a la guía de responsabilidad demostrada.
Reporte de incidentes:
Si la empresa no esta obligada a realizar la actualización del registro RNBD y se presenta algún incidente de seguridad, debe informar igualmente por medio de un canal o correo que ofrece la SIC para el reporte del incidente presentado.
Las medidas de seguridad efectivas parten de un análisis de vulnerabilidades y riesgos de la información que usa la empresa, teniendo claro que no podemos confiarnos y subestimar el alcance de los ciberdelincuentes.
Como vemos, la actualización de bases de datos al RNBD si esta obligado o no, es una oportunidad de mejora y diferenciación que le dará a la empresa un estado de cumplimiento con la ley protección de datos y tranquilidad de tener un sistema mas organizado y estructurado con niveles de seguridad que le permitirán seguir creciendo en un proceso de transformación y productividad.
Para recibir más información sin Costo y conocer las ultimas noticias de protección de datos, regístrese en nuestro Boletín:
Nota: Al registrarse recibirá un correo de confirmación. Revise su bandeja de correo no deseado o bandeja de entrada.