Algunas veces se suele creer que la elaboración, aprobación y publicación de la Política para el Tratamiento de Datos Personales e Información Sensible al interior de una compañía es suficientemente eficaz para dar cumplimiento a lo preceptuado en la Ley 1581 de 2012, Decreto 1377 de 2013 y Decreto 886 de 2014 recogidos en el Decreto Único Reglamentario del Sector 1074 de 2015. Los artículos 26 y 27 del Decreto 1377 de 2013 recogen los lineamientos del principio de responsabilidad demostrada, definidos y desarrollados por la Organización para la Cooperación y el Desarrollo Económico (OCDE)[1], que deben ser tenidos en cuenta por parte de los Responsables[2] y Encargados[3] del tratamiento de datos personales.

Las medidas y mecanismos para desarrollar el principio de responsabilidad demostrada están basados en la gestión del riesgo y el desarrollo de un programa integral de gestión de datos personales, fundamentado en dos ejes: (i) que las políticas respondan a los ciclos internos de la gestión de datos de la organización y (ii) generar resultados medibles que permitan probar el grado de diligencia de la organización en materia de cumplimiento en el tratamiento de datos personales e información sensible.

En el marco de la competencia y funciones atribuidas a la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio, se desarrolló la Guía para la Implementación de la Responsabilidad Demostrada[4], con el fin de generar beneficios mutuos entre las entidades y la autoridad de supervisión para que ante la petición que esta realice, quienes sean responsables del tratamiento de datos sean capaces de demostrar que las medidas internas adoptadas son apropiadas y efectivas para cumplir con sus obligaciones derivadas de la norma.

Estas medidas y mecanismos se pueden clasificar en tres estándares: 1. Estándar de Gobierno Corporativo 2. Estándar de Administración y Gestión del Riesgo 3. Estándar de monitoreo, evaluación y mejoramiento continuo.

El estándar de gobierno corporativo, como compromiso de la entidad, se desarrolla atendiendo el tamaño, estructura y tipo de información personal de la cual realiza el tratamiento. A partir del compromiso que provenga de la Gerencia y Alta Dirección, se promueve al interior una cultura organizacional para la promoción, apropiación y cumplimiento de la política y el programa que en materia de protección de datos e información sensible adopte la entidad. Los pasos siguientes materializan este compromiso y articulación con las partes relacionadas a partir de la designación[5] de una persona o área que asuma la función de protección de datos dentro de la entidad, aprobación, control y monitoreo del programa integral de gestión de datos personales e informe al órgano de dirección sobre su ejecución.

“La implementación del principio de responsabilidad demostrada requiere el compromiso gerencial y la destinación de recursos económicos, humanos y técnicos.”

El desarrollo y puesta en marcha de un programa integral de gestión de datos personales se sustenta en el estándar de administración y gestión del riesgo, a partir del cual se desarrolla y pone en marcha controles que permiten a la persona o área designada la función de protección de datos personales, asegure la implementación de las políticas al interior de cada área o unidad de trabajo de la entidad y desarrollar un sistema de administración de riesgos, acorde con su estructura organizacional, sus procesos y procedimientos internos, la cantidad de bases de datos y tipos de datos personales tratados por la empresa.

Las entidades deben desarrollar procedimientos administrativos consistentes con las políticas y disposiciones legales vigentes que le permita manejar de manera adecuada los riesgos asociados al tratamiento de datos de información sensible en el marco de su operación.

En los casos en los que se recolecten datos personales sensibles o datos de niños, niñas y adolescentes, es necesario reforzar las medidas de seguridad y protección de esta información.

Dentro de las acciones identificadas para el éxito del programa integral de gestión de datos personales y parte del estándar de administración y gestión del riesgo se encuentra la formación y educación de todo el personal de la compañía, acompañado con una capacitación acorde al rol y responsabilidad previamente definido en los procedimientos de la compañía para la captura o recolección, almacenamiento, uso, circulación, tipo de tratamiento y supresión o disposición final.

El estándar de monitoreo, evaluación y mejoramiento continuo permite abordar y garantizar la eficacia del programa integral de gestión de datos personales de las entidades, mantener actualizados los controles respecto de las amenazas y vulnerabilidades en materia de tratamiento y protección de datos personales e información sensible y actualizar las políticas y procedimientos de acuerdo con los deberes de la empresa y los derechos de los titulares generando un ambiente de transparencia y confianza.  

No obstante la existencia del programa integral de gestión de datos personales, las empresas deben estar en capacidad de probar la implementación y debida diligencia en materia de cumplimiento de la norma ante la Superintendencia de Industria y Comercio y los titulares de la información.

[1] Directrices de 1980 y su actualización de 2013. Se trata de la obligación de adoptar medidas apropiadas, efectivas y verificables respecto del cumplimiento de las normas sobre protección de datos, lo cual implica crear Programas de Gestión de Datos (PGD) como mecanismo operativo a través del cual las organizaciones implementan lo necesario para garantizar el debido tratamiento de los datos personales (OCDE, 2013).

[2] e) artículo 3 Ley 1581 de 2012. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los mismos.

[3] d) artículo 3 Ley 1581 de 2012. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento

[4] Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability) | Superintendencia de Industria y Comercio (sic.gov.co)

[5] Artículo 23 Decreto 1377 de 2013. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.