Por Dionisio de la Cruz Camargo (12/07/2022)
Abogado Asociado Archila Abogados LTDA.
En estos días nos hemos visto sorprendidos por incidentes de seguridad que han sacado de circulación o por lo menos han afectado gravemente y por varios días, páginas web de importantes entidades públicas a nivel nacional e internacional poniendo nuevamente sobre la mesa la importancia, no sólo de la seguridad en el manejo de la información de las empresas, sino también de los datos personales que se recolectan y se tratan a través de las páginas web.
La legislación colombiana de protección de datos personales (Ley 1581 de 2012 y el decreto 1377 de 2013), establece el principio de seguridad que consagra la obligación para los responsables y encargados del tratamiento de bases de datos, de establecer las medidas técnicas, humanas y administrativas necesarias “para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. El obedecimiento de este mandato implica destinar una estructura administrativa que se encargue de velar por el cumplimiento de la norma y, en lo que respecta a la seguridad de la información, garantizar que en el diseño de procedimientos internos se tomen las medidas tecnológicas necesarias para proteger los datos personales que se manejan. Estas medidas preventivas van desde protocolos para la recolección, almacenamiento y tratamiento de la información hasta la capacitación permanente de las personas encargadas de estas tareas, con el objetivo de concientizarlas sobre la importancia de proteger los datos que se recolectan.
Así mismo, la ley establece cómo se debe proceder, cuando, a pesar de las medidas que puedan tomarse, se produzcan incidentes de seguridad que pongan en riesgo la integridad de la información o haya habido sustracción de la misma. En estos casos, dentro de los 15 días hábiles siguientes al momento que se detecte el incidente o se tenga conocimiento del mismo, debe darse aviso a la Superintendencia de industria y Comercio-SIC a través del registro nacional de bases de datos.
El desobedecimiento de lo ordenado por la ley y las instrucciones que ha dado la SIC, expone a los responsables de cuidar la información a drásticas sanciones administrativas de hasta 2000 salarios mínimos vigentes y a los usurpadores de los datos, a sanciones penales por delitos como “acceso abusivo a un sistema informático”, “interceptación de datos informáticos”, “daño informático” o “violación de datos personales”, con penas que van hasta los 96 meses de prisión
Al final, la protección de los datos personales recae sobre todos, no sólo de los responsables y encargados que los recolectan sino también nosotros quienes como titulares debemos velar por tomar todas las medidas para no entregar nuestros datos a cualquier persona sin indagar siquiera, si tiene una política de tratamiento de datos o un aviso de privacidad, donde por lo menos nos informemos para qué vamos a entregar nuestros datos.
Artículo publicado en el portal Asuntos Legales, clic acá: