• Andrés Fernández de Castro

martes, 21 de mayo de 2019

Con ocasión de la masificación del uso de datos personales como parte de los procesos de los negocios, y el advenimiento de normas tendientes a proteger a sus titulares, las empresas y sus administradores cada vez atienden con mayor cuidado estas cuestiones. El cumplimiento de las normas en materia de protección de datos personales no tiene marcha atrás, y la Superintendencia de Industria y Comercio (SIC), en ejercicio de su función de control y vigilancia, ha dado varias pautas sobre la manera a través de la cual se protegen los derechos de las personas naturales en su condición de titulares, y las consecuencias de no hacerlo de manera adecuada.

Sin importar el tamaño o la antigüedad de la empresa, en cuanto que ésta trate datos personales, es decir, realice cualquier operación sobre información que permita identificar a una persona natural, debe cumplir con las obligaciones legales que le correspondan según actúe como responsable o como encargado del tratamiento.

¿Qué deben considerar los administradores sociales para acreditar el cumplimiento de las normas en materia de protección de datos personales?

A pesar de la existencia de algunos requisitos indispensables para todos los sujetos obligados a cumplir la norma, en muchos aspectos ésta es flexible en cuanto a la manera a través de la cual se puede acreditar su cumplimiento. No tendría del todo sentido que una empresa que apenas inicia sus actividades replique íntegramente los procedimientos de otra ya establecida, o que una empresa que presta servicios tenga políticas idénticas a otra que suministra insumos industriales.

La adecuada protección de datos personales es enemiga de la copia de formatos, y en un sentido contrario, amiga de las evaluaciones preventivas y frecuentes sobre los procedimientos de una empresa. La SIC ha resaltado que las medidas implementadas por una empresa deben ser apropiadas y efectivas para cumplir con las obligaciones legales, y proporcionales a la naturaleza jurídica y el tamaño del responsable, la naturaleza de los datos personales objeto de tratamiento, el tipo de titulares y los riesgos potenciales que el tratamiento podría causar a éstos.

¿Deben los administradores conocer y cumplir con la “Guía para la implementación del Principio de Responsabilidad Demostrada” de la SIC?

A ojos de la autoridad, la mejor manera de mitigar la ocurrencia de infracciones, o de eventualmente obtener la atenuación de una posible sanción, es la acreditación del principio de responsabilidad demostrada conforme la guía para su implementación publicada por la SIC en su portal en Internet.

Si bien en múltiples escenarios se discute la exigibilidad y carácter vinculante de la “Guía para la implementación del Principio de Responsabilidad Demostrada” de la SIC en consideración a su naturaleza como manifestación de la administración pública, en recientes decisiones, la SIC de manera repetida ha exhortado a sociedades que tratan datos personales a darle cumplimiento, e incluso ha resaltado que la responsabilidad jurídica y económica no está restringida a las personas jurídicas, sino que también puede recaer en cabeza de sus administradores, de suerte que los mismos deben obrar con profesionalismo y diligencia en la gestión del tratamiento de datos personales.

En consecuencia, con miras a acreditar el cumplimiento de normas en materia de protección de datos a ojos de la SIC, es recomendable que empresas y administradores asuman compromisos serios que involucren a la totalidad del personal y la obligación de la sociedad, a través de un oficial de protección de datos o del área designada para esos efectos, de implementar y efectuar continuos controles y monitoreos a su sistema de administración de riesgos asociados al tratamiento de datos personales.