Agregue a sus temas de interés

Agregue a sus temas de interés Cerrar

Martes, 23 de mayo de 2017

¿Cuáles son las sanciones legales para las empresas colombianas afectadas por el ciberataque?
La Superintendencia de Industria y Comercio (SIC), podrá sancionar las empresas que no implementaron medidas de seguridad previas, ni mantuvieron protocolos ni planes de respuesta ante los daños generadas por Wannacry.

Según la ley 1581 de 2012, no solo las compañías sino también las personas encargadas de la seguridad y procesamiento de la información, podrán ser multadas por la SIC por incumplir su obligación de conservar la información personal bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, y de permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. 

Estas multas de carácter personal podrán superar los 2.000 salarios mínimos legales mensuales, suspender las actividades relacionadas con el tratamiento de la información, cerrar temporalmente las actividades relacionadas con el tratamiento de información personal o cerrar inmediata y definitivamente la operación que involucre dicho tratamiento.  

Las anteriores sanciones podrían ser impuestas sin perjuicio de las acciones civiles de responsabilidad civil extracontractual a que tendrían derecho los dueños de la información para reclamar la indemnización de los perjuicios causados por el incumplimiento de las referidas obligaciones. 

¿Qué debió haber hecho la empresa para evitar las sanciones?
Según el principio de Responsabilidad demostrada, la SIC espera que todas las empresas colombianas tomen las medidas necesarias para proteger la información personal que procesan. 

Un aspecto fundamental que deben tener en cuenta, es la identificación y manejo de los riesgos asociados al tratamiento de datos personales. Por ello, es importante que desarrollen un sistema de administración de riesgos, acorde con su estructura organizacional, sus procesos y procedimientos internos asociados al tratamiento de datos personales, la cantidad de base datos y tipos de datos personales tratados por la empresa. 

La entidad recomienda, identificar los riesgos y las posibles amenazas a la información. Las empresas deberán documentar los procesos que se implementen dentro del ciclo de vida de los datos personales, definir la metodología de identificación de los riesgos asociados al tratamiento de información personal e identificar los riesgos e incidentes ocurridos, respecto de este tipo de información, en los casos que aplique. También deberán medir la posibilidad de ocurrencia de los riesgos relacionados con el tratamiento de información personal y su impacto en caso de materializarse. De igual manera deberán controlar las acciones para mitigar los riesgos de la información personal, a fin de disminuir la posibilidad y/o las consecuencias de la materialización de los mismos y monitorear constantemente que las medidas que se hayan establecido sean efectivas.