Entre 2017 y 2019, las multas más altas que ha impartido la Superintendencia de Industria y Comercio (SIC) han sido por violación a la normativa de protección de datos personales, costos que ascienden a más de 21 mil millones de pesos cada año.
Alrededor del 80% de estas sanciones tienen relación con violaciones al Habeas Data Financiero, vinculado además con la publicidad engañosa e instrucciones impartidas por parte de la entidad, que para el 2020 llegan a 20 sanciones a empresas por mal manejo de los datos personales de los usuarios.
Desde escándalos tan resonados como el Cambridge Analytica de Facebook o el robo de datos de TikTok, pasando por publicidad web que va recopilando datos y cuyo crecimiento en el mundo digital, según la plataforma Hootsuite, ha sido del 10% durante este 2020, la obtención de datos está a la merced y a un solo clic.
Según la SIC, actualmente, muchas organizaciones tienen acceso a la información de las personas, y algunas de ellas se han aprovechado para capturar los datos más valiosos y privados de sus clientes potenciales mediante agresivas estrategias de marketing.
Ver infografía sobre Ley de Protección de Datos
Por su parte, en el sitio web oficial de la SIC se contempla que el Habeas Data es el derecho que tienen todos los ciudadanos colombianos a proteger, actualizar y conocer la totalidad de su información personal almacenada en distintas bases de datos de entidades públicas o privadas. Tal derecho custodia los datos para que no sean vulnerados o mal empleados por aquel prestador de servicios o vendedor de productos que los obtiene en un momento determinado.
Toda la información de contacto personal como el nombre, la edad, el sexo y hasta reportes crediticios y movimientos bancarios se encuentran amparados bajo el marco legal, según la Ley 1266 de 2008, que está encaminada a regular el uso de esta información.
En ese sentido, la cantidad de información que se concede a otros con acciones tan sencillas como la identificación biométrica, el acceso a las redes sociales o la utilización del correo electrónico es tanta, que basta para conocer gran parte de la vida de los usuarios y de sus hábitos como consumidores. Tales conductas son sancionadas y ampliamente vigiladas por la Superintendencia de Industria y Comercio, ente regulador de las empresas.
Datos sin protección
¿Las empresas implementan dentro de sus políticas la protección de datos personales? ¿Hay regulaciones dentro de cada organización que exijan capacitar a los colaboradores para que tengan conocimiento sobre los derechos de los usuarios, respecto a los datos?
De acuerdo a la información suministrada por la SIC, alrededor del 80% de las sanciones impuestas por esta entidad se relacionan con infracciones al Habeas Data financiero, tales causas son: la no actualización oportuna de la información, los reportes a centrales de riesgos que no corresponden a la realidad y la falta de notificación al deudor antes de realizar el reporte a las centrales de riesgo, entre otros.
La era digital ha traído avances que suponen retos fundamentales para la integridad del ser humano dentro del mundo físico, pero también en el ciberespacio donde millones de personas navegan diariamente.
El mundo digital ha permitido que se conozcan, expongan y denuncien las múltiples formas en las que empresas nacionales e internacionales incumplen con el régimen de Habeas Data en el país; sin lugar a dudas, los datos se han convertido en una herramienta estratégica para empresas que no realizan una autorregulación de las políticas de protección y hacen uso de la información de sus usuarios para fines mercadotécnicos, divulgación de datos en internet, y en otros casos, pérdida de información contenida en bases de datos.
La SIC ha reiterado en una nota para El Tiempo que Facebook Colombia S.A.S ha recibido órdenes en las que se le exige mejorar las garantías de seguridad de la información de los millones de usuarios colombianos en dicha red social, ya que por medio de los servicios que presta de publicidad utiliza los datos personales de los mismos; en otra ocasión este año, la misma red social reveló que “compartió por error” datos de usuarios inactivos con alrededor de 5.000 desarrolladores, lo que aseguró que fue corregido al poco tiempo.
Otras empresas sancionadas por la SIC son las de telecomunicaciones, donde recibieron multas por más de $864 millones en las que se encuentra DirecTV, Comcel S.A y Avantel por faltas en la consulta de la información de los usuarios, sin previa autorización, también revisión de la historia crediticia de los clientes y el envío de información a terceros.
Ver infografía de empresas sancionadas por la SIC
Conservación de datos personales
El 28 y 29 de octubre del año 2016 en Colombia, en la XXV Cumbre Iberoamericana de Jefes de Estado y de Gobierno se solicitó la elaboración de una propuesta para la cooperación efectiva relacionada con la protección de datos personales y de privacidad, a tal petición se le da cumplimiento en el marco del XV Encuentro Iberoamericano de Protección de datos, donde la RIPD (Red Iberoamericana de Protección de Datos) aprobó y presentó oficialmente los llamados “Estándares de protección de datos de los Estados Iberoamericanos”.
Tales estándares fueron manifestados mediante una cartilla que contiene un conjunto de directrices orientadoras que colaboran en la difusión de iniciativas regulativas para la protección de datos personales.
El fruto del trabajo colaborativo, según la RIPD, “ha de ser de gran utilidad para otras organizaciones, por lo que quedan a entera disposición de todas las entidades y profesionales que puedan beneficiarse de ellos, en aras de garantizar de la forma más eficaz el posible ejercicio y tutela del derecho a la protección de datos tanto en la región iberoamericana como en un contexto internacional”.
Los derechos ARCO (Acceso, Rectificación, Cancelación u Oposición) son aquellos elementos clave de las normatividades en protección de datos personales, puesto que, junto con los principios, obligaciones y los procedimientos de tutela ante la autoridad competente, completan el esquema de protección de dicho derecho fundamental.
Es importante señalar que su manejo está basado en la tecnología y no siempre la tecnología tiene palabra de honor. Si no hay un cuidado minucioso o bien no se toman las medidas de seguridad necesarias, puede ser divulgada, mal utilizada, robada, borrada o saboteada.
Por ello es necesario reconocer que, en la actual sociedad de la información, el derecho a la intimidad ha variado drásticamente; por lo anterior, es de valorar tanto el derecho a la protección de los datos personales, como el respeto a la vida privada dentro de la defensa de los derechos humanos y las libertades fundamentales.
● Derecho de Acceso: Es el derecho de toda persona para obtener información acerca del uso que se está dando a sus datos de carácter personal. El origen de los datos, así como el tratamiento de los mismos debe de ser informado en todo momento al afectado.
● Derecho de Rectificación: Es el derecho del ciudadano a que se modifiquen o rectifiquen los datos que no sean correctos o estén incompletos.
● Derecho de Cancelación: Trata del derecho a excluir todos esos datos que no son óptimos o resultan exagerados para el tratamiento necesario. En el nuevo Reglamento Europeo de Protección de Datos se recoge el llamado “derecho al olvido”, que estaría en consonancia con este.
● Derecho de Oposición: Cualquier persona tiene derecho a oponerse a que sus datos personales sean tratados.
Algunos principios de protección de datos
● Lealtad: El responsable tratará los datos personales en su posesión privilegiando la protección de los intereses del titular y absteniéndose de tratar estos a través de medios engañosos o fraudulentos.
● Finalidad: El responsable no podrá tratar los datos personales en su posesión para finalidades distintas a aquellas que motivaron el tratamiento original de estos, a menos que concurra alguna de las causales que habiliten un nuevo tratamiento de datos conforme al principio de legitimación.
● Confidencialidad: El responsable establecerá controles o mecanismos para que quienes intervengan en cualquier fase del tratamiento de los datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular.