La Superintendencia de Industria y Comercio (SIC), como autoridad nacional de protección de datos y administrador del Registro Nacional de Bases de Datos (RNBD), realizó un estudio sobre las medidas de seguridad que han implementado 32,763 empresas y entidades públicas para recolectar, almacenar, usar, circular o tratar datos personales.
De acuerdo con la Ley 1581 de 2012, todas las empresas y entidades públicas están obligadas a implementar:
- Medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento [Literal g) artículo 4 de la Ley 1581].
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento [Literal d) artículo 17 de la Ley 1581].
Adicionalmente;
- Deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. [Artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015)]
Los siguientes son los principales hallazgos del estudio:
Las conclusiones se basan en la información suministrada por 32,763 4 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en el RNBD, desde el año 2015 hasta el 18 de septiembre de 2019. De éstas, 31.410 son empresas privadas (95.8%) y 1.353 entidades públicas (4,1%). La SIC realizó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización Responsable del Tratamiento (empresa o entidad pública) solo debía manifestar SI o No.
De las respuestas dadas por empresas y entidades públicas se concluye lo siguiente
PRIMERO: En promedio, tan solo el 34,5% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 65,5% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.
Únicamente 884 (2.7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.
SEGUNDO: El 79% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible.
TERCERO: El 88% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
CUARTO: El 82% de los Responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
QUINTO: El 71% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. Se destaca que de ese 71%, tanto en el sector público como el privado, el 95,8% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.
https://www.sic.gov.co/tema/proteccion-de-datos-personales
Es importante que las empresas tomen acción frente a este estudio y se empiece a trabajar en el desarrollo de un plan integral de protección de datos que cubra las medidas de seguridad necesarias para cumplir con la ley. Ademas de tener en cuenta que las empresas obligadas, deben actualizar el registro de bases de datos RNBD antes del 31 de marzo de 2020, de manera que no se constituyan mas causales de sanción, en una revisión que realice la SIC, teniendo en cuenta que ya existe una lista de empresas que no han pasado la visita de verificación.