La Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio de Colombia tiene una forma de ejercer el control sobre los datos personales con rasgos específicos, que se aplican desde 2015, época en que se realizó el lanzamiento de las Guías para la Implementación del Principio de Responsabilidad Demostrada (Accountability).
-I- ¿Qué es el principio de Responsabilidad Demostrada (Accountability)?
El principio de Accountability establece que toda entidad que recolecta y trata datos personales debe responsabilizarse por el cumplimiento efectivo de las medidas que implementen los principios de privacidad y protección de datos.
Son sus antecedentes normativos las Guías sobre Protección de la Privacidad y los Flujos Transfronterizos de Información de OCDE[1], que fueron actualizadas en 2013. En sus orígenes, el trabajo previo a la presente Guía fue llevado a cabo por la Oficina del Comisionado de Privacidad de Canadá, la Oficina del Comisionado de Privacidad e Información de Alberta y los Comisionados de Privacidad e Información de Columbia Británica[2] y complementado en el sector privado[3] [4].
-II- ¿Qué importancia tienen las guías para su implementación?
Conforme dichas Guías, todo responsable del tratamiento del dato debe contar con un programa integral de gestión de datos y, además, debe estar preparado para demostrar a la autoridad pertinente cómo implementa efectivamente dichas medidas en su organización.
Numerosos instrumentos jurídicos han incluido este concepto. Entre ellos cabe mencionar la Personal Information Protection and Electronic Documents Act (PIPEDA) de Canadá, la Directiva 95/46/CE, las Cross Border Privacy Rules (CBPR) de APEC, el procedimiento de “Safe Harbor” vigente entre Estados Unidos y la Unión Europea, los estándares de Madrid de 2009.
En Colombia, la ley N° 1581 de 2012 y el Decreto N° 1377 de 2013, implementan este sistema de accountability, al que denominan Responsabilidad Demostrada, que marca estándares que se traducen en una mayor y más adecuada protección de los datos personales de los individuos. Se establece que el Responsable del Tratamiento de los datos tiene la obligación de demostrar que se han implementado medidas apropiadas y efectivas para cumplir con las especificidades de la ley colombiana. Además de la asignación de responsabilidades para el responsable del tratamiento, se privilegia la gestión de los riesgos.
La relevancia de esta Guía está dada porque trae implícito que la autoridad de control de protección de datos realiza un reconocimiento expreso a aquellas organizaciones que le puedan demostrar que una eventual falla en el tratamiento de la información de un titular corresponde a una situación aislada que se ha dado en el marco de un Programa Integral de Gestión de Datos Personales. Esto implica que cuando se opera una irregularidad en la protección de los datos, ante una inspección de la Autoridad de Control, el hecho de que la organización inspeccionada pruebe que tiene puesto en marcha un Programa Integral de Gestión de Datos Personales es un indicador trascendente de que tal incidente es un hecho aislado.
-III- ¿Cuáles son los fundamentos básicos para el desarrollo de un Programa Integral de Gestión de Datos Personales?
Se parte de la base de que las empresas adoptan políticas internas efectivas que fueron aprobadas en el decurso de un proceso realizado con la diligencia debida en el ámbito interno de una organización. El tratamiento del dato, por tanto, debe garantizar la existencia de una estructura administrativa para implementar las políticas de la ley de protección de datos, que sea proporcional a la estructura y al tamaño de la empresa, así como que existan mecanismos internos de implementación de las herramientas de protección de datos, cursos de entrenamiento, programas de educación, y procesos para la atención de consultas, peticiones y reclamos que refieran al tratamiento de datos personales.
El programa integral de gestión de datos personales implica un compromiso de la organización en su totalidad a la adopción de políticas y procedimientos para cumplir con lo que indican las normas, y trae aparejada la implementación del programa, comprometiendo recursos económicos y materiales al efecto.
Este proceso debe comenzar desde los cargos jerárquicos más importantes de la empresa. Esto demuestra su apoyo y compromiso para generar el respeto a la protección de datos personales. Tiene su eje en una persona que asumirá la función de responsable o encargado de los datos personales dentro de la organización, implementará el sistema a efecto, supervisará los entrenamientos correspondientes, revisará que las trasmisiones internacionales de datos se hagan conforme a la ley y se ocupará del seguimiento y la auditoría de todo el sistema, presentando los informes correspondientes ante violaciones a la seguridad o riesgos relacionados con los datos personales.
Es necesario generar políticas internas que dispongan obligaciones relacionadas con la protección de datos personales y que deben ser dadas a conocer a los empleados. Estas políticas deben establecer reglas sobre recolección, almacenamiento, uso, circulación, supresión, disposición final de la información personal; acceso, corrección, conservación y eliminación de datos personales; uso responsable de la información; controles de seguridad; inclusión de una cláusula de confidencialidad en todos los medios contractuales; presentación de quejas, denuncias y reclamos; en general, todo aquel elemento necesario para cumplir con la normativa sobre protección de datos personales.
-IV-¿Cómo se controla el Programa?
En tal sentido, las políticas generales de la empresa deben transparentarse en sus procedimientos administrativos y debe haber un adecuado manejo de los riesgos que se relacionan con el tratamiento de los datos personales. Para ello es necesario que exista un previo inventario de las bases de datos que contienen información personal y que existan políticas internas dentro de las organizaciones que dispongan obligaciones al respecto que sean adecuadamente dadas a conocer a todos los empleados. Estas reglamentaciones internas abarcarán temas como la recolección, almacenamiento, uso, circulación y supresión, conservación y eliminación de los datos personales, el acceso y la corrección de dichos datos, el uso responsable de los mismos, los controles de seguridad legales, físicos, administrativos y tecnológicos, la presentación de reclamos, etcétera.
Un programa efectivo de protección de datos debe ser comprensivo de políticas que se encuentren en consonancia con los ciclos internos de protección de datos dentro de la empresa y, a su vez, que generen resultados medibles que permitan probar el grado de diligencia.
-V- ¿Cómo se realiza la evaluación y revisión del Programa?
Tan importante como el desarrollo del Programa Integral de Protección de Datos Personales es su implementación, manteniendo su eficacia, el cumplimiento del programa y los estándares de Responsabilidad Demostrada. De ahí que se otorgue fundamental importancia al desarrollo de un plan de supervisión y revisión, que está a cargo del Oficial de Protección de Datos y debe establecer las medidas de desempeño y los controles necesarios para medirlo.
Asimismo, dicho plan de supervisión y revisión debe ser constantemente evaluado y supervisado teniendo en cuenta riesgos y amenazas al tratamiento de datos personales, las quejas más recientemente recibidas, la protección de datos personales en los servicios que se van incorporando, el grado de eficacia de la capacitación, el grado de actualización del programa.
-VI- ¿Cómo se demuestra el cumplimiento con el Plan?
Un factor importante para tener en cuenta en caso de que la autoridad realice una actuación administrativa es el de acreditar que se ha adoptado un Programa Integral de Gestión de Datos Personales y que el mismo está siendo aplicado con la diligencia debida. La demostración de la implementación del Programa es un elemento fundamental que tendrá en cuenta la autoridad de control cuando dictamine sobre la protección de datos en la organización.
Además, es importante considerar que un programa bien estructurado permite a la organización aplicar el principio de transparencia hacia los titulares del dato, lo cual contribuye a generar confianza en el mercado.
-VII-
Colofón
La República de Colombia, con el lanzamiento en 2015 de las Guías para la Implementación del Principio de Responsabilidad Demostrada (Accountability) asume una postura interesante que propicia formas responsables y novedosas en Iberoamérica para proteger adecuadamente los datos personales dentro de las organizaciones. Siguiendo los estándares internacionalmente consensuados en la materia, propone una forma responsable de propender hacia la adecuada protección de los datos.
Ana Brian Nougrères. Uruguay.
[1]http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#comments
[2] Ver http://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf
[3] Centre for Information Policy Leadership (Secretariat) “The accountability project. The essential elements of accountability.”, 2009
[4] Nymity Privacy Management Accountability Framework. Toronto, Canadá, 2014.
No se han encontrado comentarios