Protección de datos personales y el principio de responsabilidad demostrada Superintendencia de Industria y Comercio, Superintendente Delegado para la Protección de Datos Personales- Resolución No. 251786 del 29 de mayo de 2020
| Autor | Juan Diego Cuevas Gómez |
| Páginas | 19-20 |
El Superintendente Delegado para la Protección de
Datos Personales resolvió un recurso de apelación
interpuesto por una persona jurídica, quien pretendía
que se revocara una resolución por medio de la cual
se ordenó a la sociedad investigada la adopción de
prácticas para la protección de datos personales. La
investigación inicial tuvo fundamento en el hecho de
que, si bien los operadores postales de pago utilizan
un sistema de autenticación biométrica por mandato
legal, no se conoce cómo se administran las bases de
datos que contienen dicha información. Una vez se
analizó el material probatorio, se ordenó a la
Sociedad a implementar controles de fuga de
información, solicitar autorización a los usuarios
nuevos para el tratamiento de datos personales y,
finalmente, informar acerca de los datos sensibles
almacenados en sus bases de datos.
Inconforme con la decisión, la Sociedad interpuso
recurso de apelación, pues, afirmó que la recolección
de datos se hace en virtud de mandato legal, por lo
que está eximida de solicitar autorización a los
titulares. Adicionalmente, señaló que sus acuerdos de
confidencialidad se ajustan a los requerimientos
legales, que se vulneró el debido proceso, y que la
orden impartida en relación con el manejo de
incidentes de seguridad no tiene motivación.
El Superintendente Delegado comenzó por referirse
a la definición de “tratamiento de datos” que se
encuentra en la Ley Estatutaria 1581 de 2012- En este
sentido, la Ley definió “Tratamiento” como la
operación o conjunto de operaciones sobre datos
personales, incluyendo allí la recolección,
almacenamiento, uso, circulación o supresión de
estos. La Ley señala que los sujetos que intervienen
en el tratamiento de datos personales están
obligados a garantizar la reserva de la información
por lo que los acuerdos de confidencialidad con los
empleados deben permanecer aun cuando el vínculo
laboral haya terminado. En este sentido, el despacho
observó que la aplicación de la ley es imperativa, por
lo que los encargados de administrar el tratamiento
de datos deben acatar sus disposiciones cabalmente.
En lo referente a la Responsabilidad Demostrada
(Accountability) en el tratamiento de datos
personales, el Despacho manifestó que se trata de un
principio que demanda a los administradores de
bases de datos la implementación de acciones de
diversa naturaleza, con el fin de garantizar el
cumplimiento adecuado de las regulaciones sobre
tratamiento de datos personales. En este sentido, las
organizaciones deben demostrar que sus sistemas
son útiles, pertinentes y eficientes en la práctica.
Adicionalmente, el término “compliance” hace
referencia a que las organizaciones deben hacer
todos los esfuerzos tendientes para cumplir con sus
políticas y protocolos de administración de datos
personales, incluyendo la creación de funciones y
metodologías internas.
PAG . 1 9
S EP TI EM BR E DE 2 020 N O. 1 59 8
Protección de datos personales y el principio de
responsabilidad demostrada
Superintendencia de Industria y Comercio, Superintendente
Delegado para la Protección de Datos Personales- Resolución No. 251786 del 29
de mayo de 2020.
Por: Juan Diego Cuevas Gómez (Universidad del Rosario)
DATOS PERSONALES
Para continuar leyendo
Solicita tu prueba