SIC ordena a Empresas implementar SEGURIDAD de información.

SIC emitió órdenes a 148 empresas para que implementen medidas que garanticen la seguridad de la información de las personas, luego de evidenciar que no han tomado acciones en ese sentido.

Órdenes emitidas a empresas

Estudio de la SIC muestra que 6 de cada 10 empresas no cuentan con políticas y medidas de seguridad de información. 148 empresas que fueron revisadas tratan datos personales sensibles y afirmaron no haber hecho nada respecto de las preguntas de seguridad de los datos. Por eso, la Superintendencia de Industria y Comercio emitió órdenes a todas estas empresas para que implementen medidas de seguridad que garanticen la seguridad de la información de las personas.

Esta gráfica muestra el numero de ordenes generadas por la SIC por cada ciudad.

Las órdenes emitidas están distribuidas de acuerdo con la actividad económica de la siguiente manera:

  • Sector de comercio (19,6%)
  • Construcción (14,2%)
  • Actividades financieras y de seguros (13,5%)
  • Industria manufacturera (10,1%)
  • Transporte y almacenamiento (9,5%).

Las facultades que tiene la SIC para emitir las ordenes están dadas de acuerdo con el articulo 19 y 21 de la ley 1581 para ejercer vigilancia y control, además, teniendo en cuenta que estas empresas manejan datos sensibles respecto de los cuales la Corte Constitucional ha manifestado que sobre ellos existe una responsabilidad reforzada que, entre otras, exige mayores medidas de seguridad, de acuerdo con el artículo 5 Ley 1581 de 2012.

Las empresas son notificadas por medio de resolución. Un ejemplo de las ordenes emitidas es el siguiente:

Es importante tener en cuenta que según los artículos 23 y 24 de la ley 222 de 1995 los representantes legales tienen la obligación de «velar por el estricto cumplimiento de las disposiciones legales» y presumen la culpa de ellos cuando la sociedad no ha cumplido la ley.

Ley 222 de 1995.

En este caso la Superintendencia de Industria y comercio dan un plazo de seis (6) meses a las empresas para que demuestren y certifiquen en cabeza del representante legal el cumplimiento de las medidas ordenadas.

https://www.sic.gov.co/node/43869

Conclusiones del estudio

El 65,7% de las empresas y las entidades públicas en Colombia no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.
Únicamente 884 (2,7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.

El estudio revela que las organizaciones no han implementado políticas del siguiente orden:

  • Que regule el acceso a la información personal de las bases de datos con información sensible.
  • Que controle el acceso remoto a la información personal.
  • No cuentan con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
  • No ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales
  • No usa herramientas de gestión de riesgos en el tratamiento de datos personales
  • No se cuenta con controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
  • No tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal.

Otro aspecto importante es que tanto en el sector público como el privado, el 27,8% de las entidades públicas y sociedades privadas (ESAL, sociedades o Mixtas), tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales, por lo tanto es deber de los Responsables velar por que los Encargados cumplan la ley de protección de datos personales y garanticen la seguridad de la información entregada para prestar los servicios contratados.

Orden a la Gobernación de Santander

En otra decisión, la Superintendencia de Industria y Comercio ordenó al Gobernador de Santander registrar todas las bases de datos de la Gobernación de ese departamento en el Registro Nacional de Bases de Datos (RNBD), la decisión se tomó mediante la resolución 71929 del 10 de diciembre de 2019.

La orden se emitió porque la SIC constató que la Gobernación de Santander no registró todas las bases que contienen datos personales. En efecto, la Gobernación solo registró algunas bases de datos de contratistas, pero omitió registrar, entre otras, las bases de datos con información de los ciudadanos que acuden a los servicios de la Gobernación y los servidores públicos.

La SIC detectó que a través de la página web de la Gobernación se han inscrito más de 13´497.437 personas para para recibir noticias mediante correo electrónico, no obstante, esa base de datos no se inscribió ante la SIC. También se constató que no se registraron todas las bases de datos de las dependencias que hacen parte de la estructura orgánica de la entidad como son, entre otras, las Secretarías de Salud, Educación, Infraestructura, Agricultura, TIC, Vivienda y Hábitat Sustentable, Cultura y Turismo, Desarrollo, Hacienda, Planeación y del Interior.

El Gobernador del Departamento de Santander deberá acreditar el cumplimiento de lo ordenado dentro de los cinco (5) días hábiles siguientes a la notificación de la citada resolución.

Para tener en cuenta

A la fecha la SIC han impuesto sanciones a empresas por más de $39 mil millones de pesos, por tal motivo y de acuerdo a las acciones que adelanta el ente de control es de mucha importancia evaluar el estado de cumplimiento de la empresa para evitar ser objeto de revisión y posibles sanciones por incumplimiento al principio de responsabilidad demostrada y seguridad de información.

Es preciso tener en cuenta que el 2020, las empresas deben seguir actualizando el registro RNBD con los cambios realizados en bases de datos, cambios sustanciales relacionados con seguridad de información, quejas, reclamos e incidentes de seguridad entre otros.

¿Tu empresa está preparada?

Realice un sencillo test sin Costo y evalúe su nivel de cumplimiento de la ley 1581 de protección de datos y seguridad de información, que le permitirá realizar las acciones a tiempo para atender una auditoria y evitarse sanciones por parte de la SIC.