El mes pasado la SIC sancionó por $702.242.400 a la Central de Información Financiera – CIFIN -, por incluir información que no era de carácter financiero o crediticio en el historial de 288.753 colombianos y meses atrás se impuso una multa a SCOTIABANK COLPATRIA de $356.070.000 por no contar las medidas para respetar los derechos de las personas respecto del tratamiento de su información, así como no demostrar procedimientos para verificar si los datos personales compartidos por terceros han sido autorizados por sus respectivos titulares de manera previa, expresa e informada.
En mayo la Superintendencia de Industria y Comercio (SIC) anunció una investigación a la aplicación de videos, Tik Tok, con el propósito de establecer si esta cumple o no con la regulación colombiana relativa a la recolección y tratamiento de datos personales de niños, niñas y adolescentes.
Los datos personales hacen referencia a toda aquella información asociada a una persona y que permite su identificación. Por ejemplo: el numero de su cédula, el lugar de nacimiento, estado civil, edad, dirección de residencia, información académica, laboral, o profesional, que puede ser publica, semiprivada, privada y sensible como su estado de salud, sus características físicas, ideología política, vida sexual, huella y datos biométricos entre otros.
Este año la SIC ha recibido más de 8.000 quejas contra empresas por vulnerar los derechos de los titulares. Los ciudadanos entienden cada vez mas este tema y reclaman los derechos que le otorga la ley de Protección de Datos Personales por el mal manejo, uso indebido o fallos de seguridad, haciendo las respectivas quejas ante la -SIC-, el cual actúa con la debida diligencia generando a la fecha millonarias sanciones a las empresas que incumplen con el mandato. En la lista están empresas como: RAPPI, BANCO FALABELLA, BANCOLOMBIA, DIRECTV COLOMBIA, UBER, FACEBOOK entre muchas mas, que fueron sancionadas en el año 2019.
Según informe de la SIC, seis de cada diez empresas públicas y privadas no han implementado las medidas requeridas para garantizar la seguridad de los datos personales de sus prospectos, afiliados, clientes, proveedores, empleados etc.
Muchas de las sanciones establecidas por la SIC se presentan por las siguientes causas:
- No garantizar el derecho de habeas data relacionado con la supresión o disposición final de los datos.
- La falta, o puesta en práctica, de atender oportunamente las solicitudes de titulares y políticas internas que permitan suprimir de manera definitiva la información.
- Fallas en medidas y controles de seguridad informática.
- La falta de documentación de políticas, controles y procedimientos de seguridad de la información.
- No conservar la prueba de la autorización de datos por parte del titular.
La SIC establece que no puede deducirse que los titulares, aunque de forma voluntaria entreguen sus datos personales, hayan sido informados de todo lo que ordena el artículo 12 de la ley 1581 de 2012. Deben existir pruebas donde el titular haya aceptado los términos y condiciones, ademas la autorización de sus datos.
Para tener un estado de cumplimiento de protección de datos y seguridad de la información dentro de la empresa, es importante conocer si se están llevando a cabo las acciones adecuadas que contribuyan con el logro de estos objetivos. Se podría pensar que una empresa es segura porque no ha sufrido ningún tipo de incidente, pero esto no es del todo cierto, puesto que puede tener vulnerabilidades o amenazas que aún no han sido explotadas, que la mantienen en riesgo y es solo cuestión de tiempo para verse afectada.
Su empresa si cumple ?
Conozca el estado de seguridad y cumplimiento en materia de protección de datos personales y seguridad de la información de su empresa, contestando este pequeño Test que le entregara los resultados obtenidos y recomendaciones que le ayudaran para realizar un plan de acción y minimizar el riesgo de una sanción por parte de la SIC.