La esperada Ley de protección de datos personales llegó a Colombia en el año 2012 para fijar el derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos.
No obstante, con la llegada del Decreto 1377 de 2013, se amplía esta norma hasta el punto de que si las empresas van a suministrar las bases de datos o archivos a terceros, deberán solicitar siempre autorización a los titulares de esta información.
¿Cómo solicitar la autorización?
De acuerdo a la Superintendencia de Industria y Comercio (SIC), en el caso de los datos recolectados antes de la expedición de dicho decreto, las organizaciones deberán solicitar la autorización de los titulares para continuar tratando sus datos personales a través de mecanismos eficientes de comunicación. Estos incluyen correos electrónicos, llamadas telefónicas, correos certificados, etc.
Además, la norma dicta que si en el plazo de 30 días hábiles el interesado no ha contactado con la entidad que le solicita la autorización, se entenderá que el ciudadano admite que sus datos sigan utilizándose pero, eso sí, para la misma finalidad en que fueron recolectados. No obstante, en todo momento el usuario puede ejercer su derecho de exigir que se eliminen estos datos.
Sanciones por incumplimiento
El Decreto 1377 establece las sanciones que se aplicarán cuando las empresas hagan un uso indebido de la información, vendan los archivos y bases de datos o cuando no les permitan a los ciudadanos actualizar o eliminar sus datos personales. Entonces, aquellas compañías incumplidoras se enfrentarán a:
Multas equivalentes a 2.000 salarios mínimos mensuales vigentes en el momento de la imposición de la sanción.
Suspensión de las actividades relacionadas con el tratamiento de la información durante seis meses.
Cierre temporal de las operaciones relacionadas con el tratamiento.
Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos.
Pautas para un adecuado tratamiento de la información
Con el fin de actuar responsablemente en el tratamiento de datos, en primer lugar, la empresa debe hacer uso del denominado Aviso de Privacidad, mediante el cual se informará de la existencia de políticas de Tratamiento de la Información, la forma de acceder a las mismas y qué uso se hará de los datos personales.
También, es importante implementar procedimientos adecuados para el acceso, actualización, rectificación y supresión de datos personales.
Por otra parte, contar con medidas de seguridad es deseable para proteger convenientemente la información de carácter personal.
Finalmente, los responsables del tratamiento de datos personales deberán demostrar a la Superintendencia de Industria y Comercio, si así lo solicita, que han implementado medidas apropiadas y efectivas para cumplir con sus obligaciones relativas a velar por la seguridad y confidencialidad de las bases de datos.