Deberes empresariales en materia de Habeas Data y sanciones por su incumplimiento

EL 04/10/2017

6 recomendaciones Para evitar este riesgo

El 30 de junio de 2017 es la fecha límite establecida por la Circular Externa No. 02 de la Superintendencia de Industria y Comercio (SIC) para que las personas jurídicas de naturaleza privada registren las diferentes bases de datos en su poder. Estas bases de datos pueden ser información compilada de clientes, proveedores y de su recurso humano.

Además de establecer la obligación de registrar la base de datos, la Ley 1581 de 2012 y Decreto 1377 de 2013 crean otras obligaciones adicionales. Las principales son:

  1. Contar con autorizaciones de los titulares para captar datos personales privados y sensibles
  2. Custodiar la información compilada
  3. Contar con una política de tratamiento de datos personales

De cara a que las empresas cumplan con la totalidad de estas obligaciones sobre Habeas Data se recomienda a las empresas realizar una auditoria sobre el cumplimiento de las normas, con el fin de detectar qué practicas no son conformes con la Ley y corregirlas para evitar la imposición de sanciones por parte de la SIC.
 
Como se ve, estas sanciones pueden ser significativas y drásticas.

  • Multas de carácter personal e institucional hasta por 2000 SMMLV
  • Suspensión de las actividades relacionadas con el tratamiento
  • Cierre temporal de las operaciones relacionadas con el tratamiento
  • Cierre inmediato y definitivo de la operación que involucre el tratamiento

Para evitar este riesgo, tenga en cuenta estas recomendaciones prácticas:   

  1. Identifique qué bases de datos tiene en la actualidad de proveedores, clientes y recurso humano
  2. Detecte si los datos compilados requieren o no una autorización del titular.
  3. Si en efecto requiere autorización, cerciórese de que la misma exista y que cumple con las condiciones establecidas en el artículo 9 de la Ley 1581 de 2012.
  4. Verifique la existencia de una política pública de tratamiento de datos personales. De comprobarse que no existe dicha política esta deberá elaborarse y publicarse de acuerdo con lo establecido en el artículo 17 literal K de la Ley 1581 de 2012.
  5. Realice una evaluación de las medidas de custodia de las bases de datos cerciorándose de que son suficientes e impiden usos indebidos de la información.
  6. Identifique las empresas con las que contrata y a las que les permite acceder y tratar las diferentes bases de datos. Se debe tener en cuenta que de acuerdo a la Ley estos terceros son encargados del tratamiento de los datos y para su contratación siempre debe existir un documento donde aseguren que va a manejar la información conforme la autorización otorgada por el titular y que dejarán indemne en todo momento al responsable del tratamiento.

 
Como se ve, las empresas no solo deben registrar sus bases de datos antes del 30 de junio de 2017 para evitar los riesgos de sanción sino que deben emprender acciones adicionales para garantizar que sus prácticas internas cumplen con los estándares y obligaciones de protección de datos personales de clientes, proveedores y trabajadores. No hacerlo, expone a su empresa a sanciones y multas. Recuerde además que el 50% del valor de la multas alimentan directamente el presupuesto de la SIC (Ley 1480 de 2011, Artículo 61, Parágrafo 3) y este es un incentivo adicional de esta entidad para exigir el cumplimiento de la norma.

“Se deben hacer auditorias sobre datos personales considerando que las sanciones que puede imponer la SIC son muy cuantiosas, el 50% de estas multas se dirigen al presupuesto de cada empresa que incumpla la norma, constituyendo un incentivo adicional para que la SIC haga control y vigilancia” afirma Carolina Solano, abogada especialista en negocios internacionales de VS + M abogados.