¿Quién impone las sanciones?
Una compañía o entidad que maneja bases de datos puede llegar a ser económicamente responsable por “infracciones” sobre datos personales en diversos frentes. Existen sanciones administrativas que, en el caso colombiano, pueden ser impuestas por la Superintendencia de Industria y Comercio.
¿Qué implica una infracción?
La “infracción” puede constituir un incumplimiento de las obligaciones contractuales de la empresa con sus clientes o con los titulares de los datos. En tercer lugar, también puede darse el caso en que además de las multas administrativas y contractuales, la “infracción” cause daños extracontractuales a los titulares de los datos.
¿Cuál es el costo de una “infracción”?
De acuerdo a un estudio realizado en 2014 por el Ponemon Institute una “infracción” implica, de entrada, un costo promedio de US$246 por cada titular afectado, suma que refleja los costos de las investigaciones internas que se deben realizar para determinar las causas y la magnitud de los incidentes, las medidas correctivas para enmendar la situación y mitigar los daños, y otros costos no calculables fácilmente como la pérdida de clientes y el deterioro de la reputación de la empresa.
Otros países han desarrollado esquemas de vigilancia y control donde las autoridades “concilian” con la empresa infractora o víctima de la “infracción”, lo cual implica costos de transacción que han llegado hasta los US$25 millones.
Colombia no es la excepción, pues la Superintendencia de Industria y Comercio está facultada para imponer multas de hasta $1.250 millones, y los jueces pueden amparar, vía acción de tutela medidas protectivas costosas. No se descarta que los titulares de datos personales que sufran daños civiles también los reclamen por vía judicial.
¿Cómo hacer frente a esta realidad?
Para evitar “infracciones”, una compañía debe adoptar políticas y medidas que, en cumplimiento del principio de responsabilidad demostrada, aseguren diligentemente la protección de los datos personales que administra, desde frentes como el administrativo, el técnico, el humano y el financiero. Una de estas medidas es el diseño e implementación de un Plan de Respuesta a Infracciones a Datos Personales (Data Breach Response Plan), que comprende protocolos para prevenir incidentes, para atender las crisis generadas por los mismos y para aprender de ellos, de modo que puedan evitarse a futuro. Cada compañía tendrá un plan que se ajuste proporcionalmente a sus características y condiciones, después de una evaluación interna de sus riesgos y vulnerabilidades.
La implementación de programas de prevención y atención de “infracciones” dentro del marco de la Responsabilidad Demostrada, es una herramienta fundamental para garantizar los derechos de los titulares y prevenir desastres financieros y reputacionales para las empresas.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp