El inciso final del artículo 27 del Decreto 1377 de 2013, que reglamenta la Ley 1581 de 2012, la cual a su vez desarrolla el artículo 15 de la Constitución Política, que garantiza el derecho de habeas data; es decir, el poder conocer, actualizar y rectificar las informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas, indica:

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

La importancia de este aparte de la norma recae en que, en él, el legislador reconoce los esfuerzos concretos y reales llevados a cabo por las organizaciones para proteger efectivamente los Datos personales a los que estas tienen acceso. Sin embargo, no se trata de un beneficio sin condiciones. Para este fin, los Responsables[1] deben incluir en sus procesos internos un Programa integral de gestión de datos personales.

Pero para esto no basta con retomar los principios legales ni copiar la norma. Por el contrario, para aspirar a este beneficio, los Responsables del Tratamiento[2] deben estar en capacidad de demostrar a la Superintendencia de Industria y Comercio que han implementado medidas concretas, idóneas y efectivas, para la protección de los Datos personales[3]. Es decir que, en caso presentarse un problema en el Tratamiento de los Datos, los Responsables deben probar el carácter aislado de la falla. Para esto, entre otros, deberán justificar las razones por las que el origen del problema es extraordinario. En otras palabras, debe existir una explicación concreta y comprobable de por qué el programa de gestión de datos no funcionó en el caso concreto.

Es decir que la diligencia probada de los Responsables de los datos es un punto importante en el momento de decidir sobre potenciales sanciones en materia de violación a los lineamientos de protección de Datos personales. Esta variable se justifica en el principio de responsabilidad demostrada, según el cual “una entidad que recoge y hace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen los principios de privacidad y protección de datos” [4].

La responsabilidad demostrada en el Tratamiento de los datos se implementa como herramienta de control de riesgos. Una parte fundamental del cálculo de las sanciones por incumplimiento en temas de protección de Datos personales de la Superintendencia de Industria y Comercio recae en el riesgo creado. El diseño y puesta en funcionamiento de un programa integral de gestión de Datos personales limita el riesgo creado, eliminando el riesgo sistémico propio al Tratamiento de los Datos. Es por esta razón que, al demostrar la puesta en funcionamiento efectiva de esta herramienta de gestión de Datos, las sanciones por una falla verificada como aislada pueden ser menores.

Según el artículo 26 del Decreto 1377, las medidas que se deben adoptar para la protección de los Datos dependerán de la naturaleza jurídica del Responsable, su tamaño empresarial, el tipo de Datos personales que son tratados, el tipo de Tratamiento y los riesgos que se derivan del mismo, según el modelo de negocio. Con respecto a su contenido, estas deben garantizar, por lo menos: (i) una estructura administrativa proporcional al tamaño empresarial del responsable y la adopción de políticas acordes a la legislación en materia de protección de Datos personales, (ii) la puesta en práctica efectiva de mecanismos internos, herramientas, entrenamiento y programas de educación para implementar las políticas y (iii) la adopción de procedimientos para la atención y respuesta de peticiones, quejas y/o reclamos de los Titulares de los Datos.

La importancia de implementar un programa integral de gestión de Datos personales recae en la limitación del riesgo, para los Titulares, para los Responsables y para la Superintendencia de Industria y Comercio. Sin embargo, debe reiterarse que el contenido de este programa no puede ser una simple transcripción de normas y/o principios. Por el contrario, debe ser resultado de un análisis de los procedimientos internos que identifique, evalúe y priorice los riesgos reales que existen según el tipo de organización y del Tratamiento consecuente. Las medidas de protección de los Datos que surjan de este proceso de debida diligencia deberán entonces ajustarse específicamente a los riesgos identificados. Para ser efectivo, el programa debe contener medidas que (i) respondan a los ciclos internos de gestión de datos de la organización y (ii) generen resultados medibles que le permitan probar la diligencia[5].

[1] Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. – Todas las definiciones han sido extraídas de la Ley 1581 de 2012.

[2] Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

[3] Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

[4] Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability), Superintendencia de Industria y Comercio, 28 de mayo de 2015.

[5] Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability), Superintendencia de Industria y Comercio, 28 de mayo de 2015.