“La Accountability exige un real compromiso por parte de las empresas”
Luis Gámez Martínez
Jurídicos
El Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015, introdujo en Colombia la Responsabilidad Demostrada (“Accountability”) por parte de los Responsables de Tratamiento de Datos Personales. La Accountability exige un real compromiso por parte de las empresas, quienes además de garantizar la protección permanente de los datos, deben implementar las mejores prácticas al gestionar y tratar la información recolectada de las personas.
Lo primero que deben tener en cuenta las empresas al gestionar datos personales es que no son dueños de la información objeto de tratamiento y que realmente se adquirió la obligación de custodiar y proteger los datos de un tercero, por lo tanto, deben asegurar que: i) Cuentan con una Política de Tratamiento de la Información (PTI) ajustada a la normatividad vigente, ii) Cumplen con las finalidades del tratamiento que fueron informadas al titular de los datos, iii) Implementan mecanismos de seguridad que protegen la integridad de la información recolectada y su confidencialidad, iv) Las personas que tratan los datos personales en su organización reconocen e implementan los procedimientos internos para salvaguardar la información recolectada.
Este último punto es fundamental para garantizar el cumplimiento del principio de Responsabilidad Demostrada, pues, no solo el Oficial de Protección de Datos y el área de informática de la empresa deben conocer los procedimientos tendientes al tratamiento de la información, sino también todos los colaboradores de la empresa e incluso su alta dirección.
La falta de conocimiento a nivel organizacional de las medidas tendientes al correcto tratamiento de los datos personales recolectados puede tener gran impacto a nivel empresarial, como lo son el deterioro de la reputación, sanciones por parte de la Superintendencia de Industria y Comercio, y en algunos casos, suspensión de actividades en las que se deben recolectar datos personales.
Es por ello que las empresas deben optar por implementar programas que permitan capacitar a sus colaboradores y a la alta dirección sobre el tratamiento de datos personales e identificar los riesgos del tratamiento para definir controles que propendan por su mitigación en la organización. No obstante lo anterior, se recomienda que todas las actividades que sean desarrolladas por las empresas para mitigar riesgos sean objeto de evaluación permanente para definir su efectividad.
