¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos? ¿O que eres cliente de alguna tienda que no para de enviarte mensajes de texto y quieres anular la suscripción pero no sabes cómo?
En un mundo donde todo gira en torno a la información de las personas, los derechos y la dignidad humana están en juego. Es por esto que el Congreso de la República de Colombia aprobó la Ley 1581 de 2012, la cual determina las disposiciones generales para la protección de datos personales.
Esta ley impacta la cultura y estructura de los procesos de las empresas, ya que precisa revisar las políticas y procesos empleados para la recolección y uso de datos personales, en bases de datos y archivos.
Como lo indica su nombre, son datos que pertenecen a una persona, por ejemplo aquellos que tengan relación con información como: salud, creencias religiosas, información comercial, transacciones financieras, situación familiar, ingresos, raza, salario, ideología política, orientación sexual, profesión, datos de contacto, entre muchos otros.
Los datos personales se clasifican de acuerdo a su naturaleza o los riesgos que puede generar cada tipo de información personal y depende de la sensibilidad de los mismos.
Dato personal público: Todo dato personal que pueda estar contenido en documentos o registros públicos u oficiales, así como sentencias judiciales.
Ejemplo: Correo electrónico corporativo, teléfono corporativo, profesión, cargo.
Dato personal privado: Corresponde a aquella información de naturaleza íntima o reservada que sólo es relevante para el titular, que puede ser conocida por la persona o su entorno más cercano, a menos que exista expresa autorización para su uso.
Ejemplo: Correo electrónico personal, dirección de residencia, teléfono de contacto.
Dato personal sensible: Considerada también información secreta, cuyo uso puede comprometer los derechos o libertades de la misma tal como discriminación. Requiere consentimiento del titular del dato para su recolección y tratamiento, y se debe tener en cuenta que el titular no está obligado a autorizar dicho tratamiento.
Ejemplo: Ideología política, inclinación sexual, información genética, pertenencia a sindicatos, datos biométricos.
Aunque este tema tiene muchísima tela para cortar, a continuación te explicaré una serie de pasos que te serán de utilidad para implementar un sistema de gestión y protección de datos personales en tu empresa, o bien; si ya cuentas con uno, para validar que se estén aplicando.
Define un oficial de privacidad o equipo responsable de la protección de los datos personales en tu organización. Si bien esta persona o equipo velará por la protección de los datos personales, la responsabilidad es de todos los colaboradores de la empresa..
Determina los datos personales que tu empresa recolecta o desea recolectar, así como el uso que darás a estos datos. Esta información será clave para que puedas establecer la política de tratamiento de datos personales, que será el corazón de tu sistema de protección de datos personales.
Cuando recolectes datos personales, debes tener claro cuál será el uso que les darás. Esta finalidad debe ser informada al titular de los mismos, quien deberá suministrar autorización expresa, la cual debes conservar como evidencia.
Determina mecanismos para la recepción de requerimientos referentes a sus datos personales: consulta, actualización, rectificación o reclamos. Para ello puedes establecer canales tales como
Determina las bases de datos que contengan datos personales, ya sean privados, sensibles o públicos. Ojo! Base de datos no significa necesariamente que sea software o un sistema de información. Una base de datos puede ser el archivador con las hojas de vida físicas del personal de la compañía.
Si tu organización tiene más de 100.000 UVTs en activos totales, deberás registrar las bases de datos en el Registro Nacional de Bases de datos (RNBD) como lo establece el
Puede parecerte excesivo capacitar a todo el personal en protección y tratamiento de datos personales, pero la historia nos cuenta que es totalmente necesario. Hay tristes historias de grandes empresas en Colombia que han tenido que pagar millonarias multas, debido a la nula o insuficiente información que dio un asesor de un call center, o la omisión de un área de Servicio al cliente u Operaciones en la atención de un requerimiento de actualización o corrección de datos personales.
Identifica los posibles riesgos en los que puedan incurrir los datos personales en las actividades o procesos que realiza tu organización. Analízalos, evalúalos y determina los controles y planes de tratamiento para evitar su materialización. Por ejemplo, incluye cláusulas de confidencialidad y manejo de datos personales en todos los contratos que firme la empresa (empleados, proveedores, alianzas).
Cuando recibas requerimientos de actualización, corrección de datos personales por parte del titular, atiéndelos dentro de los plazos que hayas determinado para ello y contesta siempre de manera clara y concisa.
Identifica y gestiona los incidentes relacionados con los datos personales; por ejemplo una vulneración a un sistema de información o un acceso no autorizado a un espacio físico que almacena datos personales.
Volviendo a nuestras preguntas iniciales, reflexionemos un poco:
¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos?
¿Tu empresa tiene mecanismos para recibir requerimientos de privacidad que sean conocidos por los titulares de los datos personales?
¿Tu empresa conoce los plazos máximos para responder los requerimientos de privacidad de acuerdo a lo establecido por la SIC?
En cualquiera de estos casos, recuerda que como titular de datos personales tienes derechos y como responsable del tratamiento tienes deberes.
¿Cómo proteges los datos personales en tu empresa? Cuéntanos!