El camino recorrido para la protección efectiva del derecho de habeas data en Colombia ha venido acompañado de la debida regulación en materia legislativa y la apropiada reglamentación en materia administrativa; sin embargo, la cultura de protección de datos personales que debe existir en las empresas responsables del tratamiento, aún es un camino que falta recorrer.
Mediante la ley 1581 de 2012 el legislador colombiano desarrolló el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos y todo tipo de archivos.
De conformidad con la norma, todo tratamiento de datos personales que sea realizado por personas naturales o jurídicas, privadas o de carácter público, es una actividad reglada que solo puede llevarse a cabo por personas autorizadas y siempre que se garantice la confidencialidad y reserva de la información.
El tratamiento de datos personales es una actividad que debe ser llevada a cabo con una finalidad legítima, solo puede realizarse con el consentimiento previo, expreso e informado del titular, sobre información veraz, completa, actualizada, comprobable y comprensible, y se debe garantizar al titular de la información el acceso a los datos.
Para dar efectividad a lo mencionado anteriormente, la ley estableció como autoridad encargada de la vigilancia y control del tratamiento de datos personales a la Superintendencia de Industria y Comercio – SIC, por medio de la Delegatura para la Protección de Datos Personales.
Para soportar esta actividad, se creó el Registro Nacional de Bases de Datos sujetas a tratamiento, que es un sistema de información, a cargo también de la SIC, en donde los responsables del tratamiento de datos personales, registran las bases de datos que manejan.
El registro contiene información de interés para la autoridad de vigilancia que servirá de manera posterior para orientar la política pública sobre el tema; los responsables del tratamiento reportan el tipo de datos almacenados, las medidas de seguridad sobre los mismos, su procedencia, los reclamos interpuestos por los titulares, los incidentes de seguridad y las políticas de tratamiento de datos personales que aplican.
La Circular No. 02 de 3 de noviembre de 2015 expedida por la SIC, estableció como plazo máximo para el registro inicial de las bases de datos, el 9 de noviembre de 2016; sin embrago, mediante decreto 1759 de 2016, se amplió el plazo al 30 de junio de 2017 en lo que concierne a personas jurídicas de naturaleza privada y sociedades de economía mixta.
La Superintendente Delegada para la protección de datos personales, María Claudia Caviedes, en entrevista con el diario ámbito jurídico, mencionó que la ampliación del plazo de debió a “el bajo porcentaje de empresas que a la fecha han registrado sus bases de datos, esto es, solo el 18%”
De acuerdo a cifras oficiales de la SIC, a 30 de septiembre de 2016, sólo 7098 empresas habían realizado el registro inicial, las actividades económicas inscritas de mayor relevancia fueron, comercio al por mayor y menor; industrias manufactureras; actividades financieras y de seguros; actividades profesionales, científicas y técnicas; información y comunicaciones.
Si se tiene en cuenta que el último informe de dinámica empresarial en Colombia, expedido por CONFECAMARAS, reportó que “de enero a septiembre de 2016 se crearon 243.093 unidades productivas, 59.626 sociedades”, se puede observar que el porcentaje de registro inicial aún es muy bajo y que actividades importantes como la construcción, el transporte, el alojamiento no registran, hasta el momento, las bases que tienen en su poder y las políticas con las cuales administran el tratamiento de datos personales.
En este caso, el problema no parece ser la legislación ni las instituciones creadas alrededor de la misma para darle efectividad al derecho constitucional de Habeas Data, se trata en este caso de la desinformación de la ciudadanía en general, en la que se debe trabajar educando en derechos a las personas, pero también en deberes a las empresas.
Toda empresa que maneje, recoja, administre, someta a tratamiento y que, de cualquier forma, almacene datos personales de clientes, trabajadores, proveedores, contratistas, debe hacer el registro y crear las políticas para el debido tratamiento de conformidad con lo establecido en la ley, no hacerlo acarrea multas de hasta dos mil (2.000) salarios mínimos mensuales legales vigentes y la suspensión o cierre temporal de las actividades relacionadas con el tratamiento de datos personales.
Si tiene alguna duda o inquietud acerca de este tema u otros similares en Colombia, o requiere asesoría para el registro o estructuración de políticas de protección de datos, ingrese a http://www.abogadotic.co, escríbanos al correo [email protected], o pregunte en Twitter a @NODAbogada
Nota: Hicimos este artículo para una colaboración con la firma APDTIC de España con el fin de dar a conocer el estado actual del tema de protección de datos personales en Colombia y compartir experiencias.
Por : Natalia Ospina