• Juliana Múnera Gómez

miércoles, 5 de agosto de 2020

A través de diversas investigaciones, la Superintendencia de Industria y Comercio (SIC) ha manifestado que el principio de responsabilidad demostrada “demanda menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre Tratamiento de datos personales”. Sin duda, la SIC ha sido enfática en expresar que este principio va mucho más allá de redactar documentos y políticas, pues exige un esfuerzo aún mayor en su implementación y demostración.

¿Las organizaciones deben implementar un Programa Integral de Gestión de Datos Personales (Pigdp)?
Sí. El Decreto 1377 de 2013 establece no solo la obligación de adoptar políticas internas efectivas, sino, además, y como resultado de una debida diligencia, la obligación de implementar un Pigdp.
Lo anterior significa que el principio de responsabilidad demostrada exige efectuar acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los datos personales. Su resultado dependerá en gran medida del compromiso de los altos directivos, quienes como líderes de las organizaciones son los llamados a promover una cultura de respeto de los datos personales.

¿Qué responsabilidad se deriva de la obligatoriedad de implementar el Pigdp?
De acuerdo con el Decreto 1377 de 2013, a los administradores les asiste no solo el deber y compromiso de revisar que sus políticas se adecúen a sus organizaciones, sino además que los mecanismos de implementación sean útiles, eficaces, verificables y objeto de revisión permanente para evaluar el grado de eficiencia y las garantías que ofrece frente a los titulares.
Es a partir de los órganos directivos donde se origina el apoyo y compromiso de las organizaciones, desde la destinación de recursos hasta el reporte de informes ante los órganos sociales. Esto se debe a que la responsabilidad frente al tratamiento de datos personales no solo radica en la persona jurídica, sino también en cabeza de sus administradores, pues en virtud de lo dispuesto en el artículo 200 del Código de Comercio, se presume la responsabilidad de los directivos por “incumplimiento o extralimitación de sus funciones, violación de la ley o de los estatutos”.

¿Qué actividades debe implementar la alta dirección en la implementación del Pigdp?
De acuerdo con la “Guía de implementación del principio de responsabilidad demostrada” de la SIC, la alta dirección debe: (i) Designar una persona o área que asuma el liderazgo en el Pigdp, (ii) Destinar recursos, (iii) Informar periódicamente a los órganos sociales sobre la ejecución del Pigdp y enviar un reporte de novedades en medidas de seguridad y reclamaciones de terceros, (iv) Establecer responsabilidades respecto a la recolección, almacenamiento, uso, circulación y eliminación o disposición final de los datos personales, (v) Aprobar un programa de formación para los empleados, en especial a quienes manipulan datos personales, (vi) Aprobar un sistema de administración de riesgos que permita identificar, medir, controlar y monitorear los riesgos asociados al tratamiento de datos personales, (vii) Aprobar un plan de evaluación y revisión del Pigdp que permita medir la efectividad de los controles implementados y los resultados.

¿Qué implicaciones tiene implementar el Pigdp?
La implementación del Pigdp no solo repercute en beneficio de los derechos de los titulares, sino que impacta positivamente las organizaciones, pues más allá de evitar cuantiosas multas, suspensión de actividades o incluso cierre de la operación, su adopción se traduce en buenas prácticas que serán tenidas en cuenta por la SIC al momento de evaluar la imposición de una sanción por violación al Régimen de Protección de Datos Personales.