Vence el plazo para las empresas que reportaron sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio o las que por el monto de los Activos totales les toca hacer el registro, deberán actualizar el RNBD con los reclamos presentados por los titulares de los datos personales realizados en el semestre anterior a la fecha del reporte. Es decir de Enero a Junio se reporta en Agosto y de Julio a Diciembre en Febrero del siguiente año, siendo así, el reporte para este año fue el 21 de febrero de 2024 y en Agosto 23 de 2024, de acuerdo con el artículo 2.3 de la Resolución 003 de 2018 emitida por la SIC.
https://www.sic.gov.co/sites/default/files/normatividad/082018/Circular_003.pdf
De acuerdo con la ley de protección de datos Colombiana, todo titular tiene el derecho de presentar quejas, consultas o reclamos cuando consideren que lo datos entregados o contenidos en una base de datos deben ser corregidos, actualizados o eliminados, o cuando crean del presunto incumplimiento por parte de los Responsables y Encargados de cualquiera de los deberes contenidos en la ley.
Si la empresa no ha tenido reclamos, de igual forma debe hacer el proceso de revisión interna, documentar y actualizar el registro RNBD antes de la fecha mencionada para recibir el respectivo radicado que le de soporte a la gestión realizada, además de seguir ejecutando las actividades que demanda el programa integral de protección de datos y validar las tareas para realizar la actualización de las bases de datos reportadas que permita avanzar con el cumplimiento del principio de responsabilidad demostrada.
Como pueden reclamar los titulares
- Los titulares podrán presentar un reclamo ante el Responsable o el Encargado del Tratamiento, quien tendrá un término de 15 días hábiles para atender la reclamación, contados a partir del día siguiente a la fecha de su recibo.
- El Titular o causahabiente podrá elevar el reclamo ante la SIC una vez haya agotado el trámite de consulta o reclamo ante el Responsable o Encargado del tratamiento y haya transcurrido un término de 15 días hábiles sin recibir respuesta o cuando haya recibido una respuesta inadecuada.
Si el titular elevó la solicitud de consulta o reclamo ante el Responsable y/o el Encargado del tratamiento y su solicitud no fue atendida, podrá presentar la queja ante la pagina de la SIC:
http://serviciospub.sic.gov.co/Sic2/Tramites/Radicacion/Radicacion/Consultas/ConsultaRadicacion.php
Top 5 de las obligaciones que son motivo de sanciones
Según el estudio de las sanciones impuestas en materia de protección de datos personales durante el 2023 realizado por diferentes profesionales especializados en la materia como la Escuela de privacidad, destacamos el top 5 de los aspectos que son causales de sanción:
- No cumplir las instrucciones y requerimientos que imparte la SIC: Es la principal causa de las sanciones a las empresas que equivale al 46% donde se identifican las siguientes:
- No se atiende oportunamente las solicitudes que hace la SIC.
- No se reportan las medidas de seguridad al RNBD.
- No se reportan todas las bases de datos que usa la organización.
- No se cuenta con un manual de políticas de seguridad acorde y ajustado a la organización.
- No se acatan las solicitudes, quejas y reclamos a tiempo.
- Adoptar las políticas y procedimientos adecuados: El 32% de las empresas sancionadas incumplieron con el deber de tener la documentación básica requerida como es:
- No contar con el manual de procedimientos para la recolección, almacenamiento, uso, circulación y supresión de los datos personales.
- No contar con la política de seguridad donde se establezcan las medidas y controles adecuados para conservar la seguridad de los datos.
- No contar con la política de tratamiento de datos personales.
- No contar con procedimientos para la gestión de usuarios con acceso a la información personal.
- No contar con la política de tratamiento de datos en las etapas del ciclo de vida del dato.
- No contar con procedimientos para la gestión de incidentes de seguridad.
- Entre otros.
- No contar con la copia de la autorización otorgada por el titular (32%)
- No informar debidamente sobre la finalidad de recolección y los derechos al titular (30%)
- No tramitar las consultas y reclamos en los términos señalados por la ley (28%)
Link: SEGUNDO-ESTUDIO-EDEP2024-FINAL (escueladeprivacidad.co)
Cantidad de sanciones por protección de datos
En lo que va del 2024, la Superintendencia de Industria y Comercio (SIC) ha impuesto 245 sanciones administrativas por un monto total de $9.048.000.000 COP. Se registran varias sanciones por incumplimientos relacionados con la Ley 1581 de 2012, las cuales pueden variar significativamente dependiendo de la gravedad de la infracción, pero algunas de las sanciones más destacadas incluyen:
- Baguer S.A.S.: Multa por compartir información personal sensible sin autorización adecuada.
- Clínica Nueva Sonrisa Calima S.A.S.: Multa por no cumplir con las órdenes de la Autoridad de Protección de Datos Personales.
- Emermédica S.A. Servicios de Ambulancia Prepagados: Multa por no responder a la solicitud de supresión de datos personales.
- Mac Center Colombia S.A.S.: Multa por no garantizar el derecho de habeas data a la titular.
- Nota: Las multas pueden llegar hasta 2.000 salarios mínimos mensuales legales vigentes.
>> Sanción millonaria y suspensión de actividades por seis meses a empresa de servicios
Sin duda alguna, una de las causas que mas se registra en cuanto a sanciones realizadas por la SIC, esta relacionada con la seguridad de la información y la falta de controles reales y eficientes que permiten que las empresas sean victimas de incidentes o ciberataques como los reportados recientemente.
La solución, auditar lo realizado en protección de datos
Lamentablemente muchas de las empresas sancionadas se dan cuenta que tenían un reclamo cuando la SIC hace el requerimiento, esto debido a que no llevan un control y seguimiento de las actividades que demanda el cumplimiento de la norma como es contar con un Programa integral de protección de datos o un Sistema de gestión de protección de datos personales –SGPDP-. Por tal razón es muy importante que la dirección de la empresa realice auditorias internas periódicas y las valide con una auditoria externa que permitan identificar brechas en el cumplimiento de las obligaciones.
PRODATI es la solución integral que reúne todos los aspectos requeridos para el cumplimiento de la ley de protección de datos personales, detectar vulnerabilidades y riesgos, mejorar los niveles de seguridad Informática, alinearse al estándar ISO 27001 y facilitar el proceso de capacitación y concientización del personal, colaboradores o lideres por medio de nuestra plataforma de gestión en la nube.
Nuestros clientes han reducido sus costos de implementación en más de un 50%, además de mejorar su postura de ciberseguridad se previenen de incidentes, ataques informáticos y sanciones legales. Si no esta seguro que tiene y que le falta, le podemos ayudar a evaluar su nivel de cumplimiento de la Ley de protección de datos personales y seguridad de la información.