Aplicación del principio de responsabilidad demostrada

Sin embargo, las bases de datos personales no es un tema que deba manejarse deliberadamente, sino que por el contrario, debe hacerse con responsabilidad. Con la expedición de la Ley 1581 de 2012 y el Decreto 1377 de 2013, el Gobierno Nacional fijó los fundamentos para establecer un marco normativo inicial que garantice la efectiva protección y adecuado tratamiento de los datos personales, de conformidad con lo señalado en el artículo 15 de la Constitución Política de 1991.

Uno de los aspectos más importantes incluidos en esta normativa es el principio de “accountability” o “responsabilidad demostrada”, desarrollado en la letra k) del artículo 17 de la Ley 1581 de 2012 y los artículos 11, 26 y 27 del Decreto 1377 de 2013. 

Este principio consiste en que todo responsable o encargado del tratamiento de datos personales, a solicitud de la autoridad competente (Superintendencia de Industria y Comercio), debe demostrar que ha implementado (i) una política y manuales internos para el tratamiento adecuado de datos personales, (ii) procedimientos para la recolección, tratamiento y supresión de datos, (iii) mecanismos suficientes para conservar la confidencialidad y seguridad de la información, (iv) una estructura administrativa responsable para la adopción e implementación de la política, y (v) un sistema eficaz para la atención y respuesta de PQR (peticiones, quejas y reclamos) conforme a las exigencias legales.

Así, los responsables y encargados del tratamiento de datos deberán estar en capacidad de presentar la descripción de los procedimientos usados para ello, y lo que resulta más importante, brindar una explicación sobre las finalidades y relevancia de los datos recaudados, en proporción con la estructura y tamaño empresarial, el tipo de información que se maneja, la clase de tratamiento empleado y los posibles riesgos.

De este modo, con la aplicación del principio de la responsabilidad demostrada, se crean mecanismos estables y seguros para los ciudadanos respecto al tratamiento efectivo de sus datos personales, es decir que estos sean tratados para los fines concretamente autorizados y con los más altos estándares de protección y confidencialidad. 

Para la puesta en marcha del principio de la responsabilidad demostrada, el Gobierno Nacional, como primera medida, expidió el Decreto 886 de 2014 a través del cual busca reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, así como los términos y condiciones bajo los cuales todo responsable o encargado debe inscribirse, para que la Superintendencia de Industria y Comercio pueda realizar las labores de control y vigilancia necesarias para el efectivo cumplimiento de la normativa sobre Protección de Datos Personales en Colombia.

Con el Registro Nacional de Bases de Datos se busca, por un lado, que todas aquellas personas que recopilan, administran y suprimen datos personales den a conocer al Estado los procesos que emplean para el tratamiento de la información, de modo que se pueda supervisar el cumplimiento de la ley, y por el otro, brindar a los ciudadanos un sistema de consulta que les permita ejercer sus derechos, tales como conocer, actualizar, rectificar, suprimir cualquier dato o hasta revocar la autorización de uso.

Los responsables o encargados de datos personales deberán inscribir sus bases en el registro Nacional de Bases de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite este registro, conforme al procedimiento que para ello se imparta. Ahora, quienes creen bases con posterioridad al año inicial para la inscripción, tendrán un plazo de dos (2) meses siguientes contados a partir de su creación para cumplir con esta obligación, so pena de ser sancionados conforme se establece en la Ley 1581 de 2014.

Así que si usted como empresario aún no ha formalizado sus procedimientos y mecanismos de administración de datos personales, debe hacerlo lo antes posible, de tal forma que pueda cumplir con las obligaciones impartidas por la ley, en procura de establecer un flujo de la información eficiente y seguro, y evitar con ello futuros dolores de cabeza por no cumplir el principio de responsabilidad demostrada.