Agregue a sus temas de interés

Agregue a sus temas de interés Cerrar

viernes, 5 de febrero de 2016

Hace unos meses la SIC publicó las Guías de Responsabilidad Demostrada (GRD), donde se establece los lineamientos para el desarrollo de los programas de privacidad y seguridad de la información en las empresas, por otra parte la ley 1581 de 2012 define uno de los principios necesarios en la protección de datos personales, el cual corresponde a la seguridad de la información. Sin embargo, en las empresas aún se siguen formulando la siguiente pregunta: ¿cómo se puede determinar si se cumple o no con este principio? Para saberlo es necesario tener en cuenta dos características: 

La implementación de modelos de seguridad de la información que puedan ser identificables por la Autoridad o el Juez. Dichos modelos deben ser documentables, ya que seguramente frente a una investigación administrativa ayudarían a demostrar procedimientos de seguridad de la información que la Ley o las GRD no mencionan detalladamente, pero que son de mucha importancia frente a las decisiones jurídicas que se puedan tomar.

La unificación de criterios entre abogados e ingenieros. Los modelos de protección de datos personales que se implementen en una empresa, no pueden ser analizados separadamente por la parte legal y la parte tecnológica. Lo ideal es lograr una sinergia que permita a los abogados documentar y hacer seguimiento al cumplimiento de la norma, y a los ingenieros hacer eficientes los procedimientos manteniendo los niveles de seguridad para tratar y procesar los datos personales que maneja la compañía. En pocas palabras, necesitamos “Ingenieros Litigantes” y “Abogados de TI”.

Es importante resaltar que en caso de una visita administrativa de la SIC, cualquier falla en el cumplimiento de alguno de los principios de la Ley de Protección de Datos Personales puede ser una evidencia útil para los procesos sancionatorios futuros. 

Por esta razón, es clave ser estrictos en la elaboración de los modelos de protección de datos personales en las compañías, lo cual solo se logra comprendiendo el alcance, el propósito y el uso de los mismos.

La materialización de riesgos identificados por la Autoridad de Protección de Datos puede no solamente acarrear multas, sino también responsabilidades penales; un ejemplo de ello es la identificación de tráfico de bases de datos, que dependiendo de sus características podría implicar una violación de datos personales cuya sanción podría ser hasta de 96 meses de prisión. 

Sin duda alguna, la correcta gestión de los datos personales en las compañías conllevará al desarrollo de modelos de seguridad de la información, pero cada compañía es distinta y tiene diferentes riesgos que deben ser estudiados técnica y jurídicamente para el pleno cumplimiento de la normatividad