El 62% de las empresas en Colombia NO cumplen con la ley de protección de datos

La Superintendencia de Industria y Comercio –SIC-, como autoridad nacional de protección de datos y administrador del Registro Nacional de Bases de Datos (RNBD), realizo un estudio a cerca de 34.000 empresas en Colombia y el resultado no es alentador.

El segundo estudio de la SIC revela las faltas de medidas de seguridad que tienen las 33.596 empresas y entidades públicas, que han registrado sus bases en el RNBD desde el año 2015 hasta el 30 de septiembre de 2020, para la recolección, almacenamiento, uso, circulación o tratamiento de datos personales.

Del total de empresas, 31.333 son empresas privadas (93,3 %) y 2.263 entidades públicas (6,7 %). La SIC realizó 26 preguntas sobre seguridad de información en el formulario electrónico del RNBD, respecto de las cuales cada organización responsable del tratamiento (empresa o entidad pública) solo debía marcar Sí o No.

Los puntos que preocupan del estudio son los siguientes:

Del total de empresas, 24.424 organizaciones públicas y privadas no han puesto en marcha políticas, mecanismos y controles eficientes para proteger los datos de sus usuarios de accesos no autorizados o incidentes de seguridad.

20.594 empresas no han implementado una política específica y controles que regule el acceso a la información personal sensible.

El superintendente de Industria y Comercio, Andrés Barreto, reiteró la importancia de cumplir la Ley de Protección de Datos, pues indicó que “las entidades deben cumplir la Ley, especialmente en materia de seguridad, ya que sin esto será muy difícil tener la confianza de los ciudadanos, además que al tener problemas de seguridad también se pueden afectar los intereses de las empresas.

Los resultados del segundo estudio este año arrojo los siguientes resultados:

  • Número de organizaciones evaluadas: 33.596
  • No tienen una política de protección para acceso remoto a la información personal: 72,7%
  • No cuenta con mecanismos de monitoreo de consulta de las bases de datos: 69,3%
  • No ha implementado un procedimiento de auditoría de los sistemas de información: 71,3%
  • No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos: 67,5%
  • No ha implementado medidas especiales para proteger datos sensibles: 61,3%
  • No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: 66.1%
  • No tiene política de auditoria de seguridad de la información: 63,6%
  • No tiene controles de seguridad en la tercerización de servicios para el tratamiento de datos: 61%
  • No implementa medidas apropiadas y efectivas de seguridad: 50,7%
  • No cuenta con herramientas de gestión de datos: 46,9%
  • No tiene políticas y procedimientos de gestión de incidentes de seguridad: 52,6%

En promedio el 62.3% de las empresas evaluadas NO cumplen los aspectos requeridos para el cumplimiento de la ley de protección de datos personales en Colombia.

En el estudio la Delegatura de Protección de Datos Personales de la SIC estableció que el 60,9 por ciento de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. Esta cifra es preocupante si se tiene en cuenta que del total de empresas, el 41,7 por ciento tienen Encargados de Tratamiento. Esto significa que han tercerizado servicios en el tratamiento de los datos personales.

Hay sectores que tienen unas políticas muy eficientes del tratamiento y seguridad de información. Por ejemplo, el sector financiero que invierte para evitar ese tipo de conductas y las empresas de telecomunicaciones. Pero hay otros que no implementan esas políticas, no quieren hacer las inversiones o correctivos y no están exentas de situaciones de riesgos o incidentes de seguridad. Cualquier persona que, por ejemplo, haga ventas a distancia y tenga información de tarjetas de crédito es susceptible a que haya una falla de seguridad. Hay investigaciones grandes en las que se detecta violación de la ley o situaciones que ponen en riesgo y se imponen órdenes de acción a la empresa. Si las omiten, se inicia un procedimiento y se le da un seguimiento, como solicitar una auditoría de seguridad. Pero puede haber imposición de multas y sanciones adicionales como correctivos, programas de cumplimiento. Cuando son delitos, como la suplantación o el fraude bancario, hay que denunciarlo en la Fiscalía para que se adelante un proceso penal.

Andrés Barreto, Superintendente.

Según los registros de la Superintendencia, cerca de 60 empresas de diferentes sectores fueron sancionadas el año pasado por no cumplir con la normativa relacionada a la Ley de habeas data financiero y la Ley general de protección de datos con multas por más de $7.500 millones.

Teniendo en cuenta que el 31 de marzo vence el plazo para que las empresas actualicen el registro RNBD, es importante que se tengan en cuenta las estadísticas del estudio para que las empresas realicen actividades de gestión apropiadas y documentadas para implementar un sistema de gestión o plan integral de protección de datos que involucren las medidas de seguridad necesarias y disminuya el riesgo de una revisión o auditora por parte de la SIC.