Finalidad de los datos
Definir de forma concreta, la finalidad y usos que se les dará a los datos recolectados, para evitar usos indebidos de los mismos.
La Ley de protección de datos protege la información privada de las personas. Las empresas que tienen acceso a ella deben ser muy cuidadosas de no violar la normatividad, para no poner en riesgo la seguridad de sus clientes, su imagen de confianza y no arriesgarse a las sanciones de ley.
La información que te compartimos aquí es simplemente material informativo que ofrecemos a los negocios.
Esta publicación no tiene fines comerciales y no representa un cobro para quienes se nombran.
Las opiniones de terceros se atribuyen a las fuentes consultadas y no comprometen el pensamiento de Grupo Bancolombia.
Es responsabilidad de los lectores y negocios el cumplimiento de la normatividad que le sea aplicable y la verificación de su vigencia.
La Ley 1581 de 2012, o Ley de protección de datos, y el Decreto 1377 de 2013 reconocen y protegen el derecho que tienen todas las personas a conocer, actualizar y, en caso de ser necesario, rectificar la información que sobre ellas se haya recogido en bases de datos o archivos, y que sean susceptibles de tratamiento por entidades de naturaleza pública o privada. Estas normas regulan todos los archivos que contengan datos personales de personas naturales.
El Decreto 1377 de 2013 reglamentó parcialmente la Ley 1581 de 2012. A partir de su expedición, las empresas interesadas en recolectar datos de sus clientes deben incluir un aviso de privacidad (que se puede hacer estratégicamente en el mismo formato de autorización de la captura), definir o crear un área o sujeto responsable de la protección de la información personal, establecer cláusulas para transmisiones y transferencias de datos, determinar o conocer cuáles son los grupos de interés del cliente, y fijar las finalidades y los tratamientos de cada uno de ellos, ya que esto se debe indicar en la política de tratamiento y en el formato de autorización.
Definir de forma concreta, la finalidad y usos que se les dará a los datos recolectados, para evitar usos indebidos de los mismos.
Contar con procesos y procedimientos internos que permitan la correcta modificación, actualización y eliminación de los datos cuando sea necesario.
Contar con altos estándares de seguridad, privacidad y de confidencialidad de la información, tanto en el manejo de los sistemas informáticos como en las contrataciones con empleados y terceros.
Informar de forma clara y expresa a los titulares las finalidades y tratamientos que se le darán a los datos recolectados.
Publicar y poner a disposición de sus empleados y colaboradores las políticas, lineamientos y prácticas que deben cumplirse para lograr una óptima protección de datos.
Contar con un inventario claro y ordenado de las bases de datos existentes en la empresa para posteriormente proceder con el registro ante la autoridad competente.
Realizar continuamente actualizaciones en temas de regulación y revisar las recomendaciones de la Superintendencia de Industria y Comercio, primer aliado e instructor en tema de protección de datos.
La Superintendencia de Industria y Comercio explica que “la recolección de información personal es una de las actividades que realizan las organizaciones de acuerdo con sus procedimientos y necesidades, por lo tanto, cada empresa o entidad es la que determina en qué momento y cómo recolectan los datos de los clientes, empleados, proveedores y otros”.
Por su parte, Nelson Remolina Angarita, director del Observatorio de Protección de Datos y del Grupo de Estudios en internet, Comercio Electrónico, Telecomunicaciones e Informática (GETCI) de la Universidad de los Andes, advierte que los datos pueden recolectarse, “por cualquier medio y en todo momento de manera visible e invisible a las personas. Los medios más comunes son: escrito, verbal, electrónico, cámaras de video, dispositivos electrónicos o conductas inequívocas de cada individuo”.
Sin embargo, la ley es clara cuando asegura que es necesario “el consentimiento previo, expreso e informado del titular”, es decir, que el dueño de la información apruebe y sepa para qué y cómo se utilizará dicha información. Carolina Arboleda Tilano, abogada de la Gerencia Jurídica Nacional Personas y Pymes de Bancolombia, concluye que, “siempre que haya recolección de datos personales, se deberá tener una finalidad legítima y cierta, es decir, una razón de ser de la recolección. Además, los datos recolectados deben ser pertinentes y adecuados para alcanzar dicho fin”.
La ley de protección de datos clasifica los datos de la siguiente manera:
Los datos sensibles son aquellos que afectan la intimidad del titular por lo que su uso indebido puede generar discriminación. Estos revelan el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de Derechos Humanos, que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición. Allí también se encuentran los relativos a la salud, a la vida sexual y los datos biométricos.
“Las empresas que manejan información sensible de sus clientes, usuarios, colaboradores y proveedores deberán, antes de realizar el tratamiento de la información, solicitar la autorización del titular del dato e informarle de manera previa y expresa que, por su categoría especial, no está obligado a autorizar su tratamiento, adicionalmente se informará de forma explícita cuáles datos sensibles serán solicitados y qué finalidad se les dará a los mismos”, explica Arboleda.
De otro lado, Remolina asegura que, para este caso en particular, la responsabilidad es mayor y calificada. “En términos de la Corte Constitucional, el responsable adquiere una responsabilidad reforzada, lo cual implica que, respecto de datos personales sensibles, se deben adoptar mayores medidas de seguridad, restricciones de acceso, de usos y de circulación”, señala el director del Observatorio.
Son varias las faltas que se pueden cometer a la hora de recolectar datos. Según Arboleda, entre lo más común está que “las empresas tienen problemas identificando y definiendo cuáles de los procesos de la cadena productiva tienen un componente de tratamiento de datos o cuáles procesos implican el tratamiento de datos sensibles”. La abogada señala que, “sin una identificación correcta, no es posible generar estrategias de control y monitoreo que permitan el cumplimiento de la normatividad”.
No contar con un mecanismo idóneo para controlar y hacer seguimiento a las revocatorias que los usuarios (titulares de la información) puedan realizar, es otra situación que normalmente puede generar riesgos en la implementación de la normatividad en las empresas, de tal manera que estas terminan irrespetando los derechos de los titulares de la información.
La Superintendencia de Industria y Comercio advierte sobre las cuatro infracciones más recurrentes por parte de quienes recolectan datos:
La Superintendencia de Industria y Comercio -como entidad de inspección, control y vigilancia- tiene competencia para investigar las conductas contrarias a la ley y que afectan los derechos de las personas e imponer las siguientes sanciones:
Para este organismo de control también es posible ordenar el bloqueo temporal de las bases datos que se utilizan hasta tanto se investigue la conducta y se tome una decisión definitiva. Adicionalmente, según la Ley 1273 de 2009, la violación de datos personales es un delito que puede ser sancionado con pena de prisión de 48 a 96 meses y multas de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Sin embargo, sumado a la sanción legal, Remolina apunta consecuencias también en el ámbito de la confianza de la empresa recolectora, al advertir que se pone en juego la buena reputación de una empresa, se pierde confianza de los clientes y se puede afectar el patrimonio de los mismos.
La Ley 1581 de 2012, o Ley de protección de datos, y el Decreto 1377 de 2013 reconocen y protegen el derecho que tienen todas las personas a conocer, actualizar y rectificar su información. A partir de su expedición, las empresas interesadas en recolectar datos de sus clientes deben conocer la ley, saber cuáles son los tipos de datos que existen y qué responsabilidad asumen al manejar información sensible, entre otros relacionados con la ley.
¿Quieres ver más artículos de Actualízate?
Descúbrelos¿Aún tienes dudas?