¿Y ahora qué nos depara la protección de datos en Colombia?

img1En el mes de mayo se llevó a cabo el Tercer Congreso Internacional de Protección de Datos, donde la Súper Intendencia de Industria y Comercio (SIC) realizó el lanzamiento de la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability).

Como ya sabemos, la reglamentación de la Ley de Protección de Datos en Colombia ha sido un poco ambigua porque da pinceladas de todo, pero sin concluir ninguno de los temas. De este modo, la llegada de la Guía permitió dar un nuevo rumbo ya que estructuró corporativamente la protección de datos personales.

¿Qué contiene la guía?

La Guía está compuesta por tres capítulos que nos permitirán garantizar la implementación del programa integral de gestión de datos personales aunque para este post dejaremos fuera el ítem de consideraciones preliminares dado que éste corresponde a información general de la guía.

A continuación les contaremos de cada uno de ellos.

Capítulo III Fundamentos básicos – desarrollo de un programa integral de gestión de datos personales

Ítems de Compromiso de la Organización

La alta dirección debe apoyar la implementación del programa integral de gestión de datos personales, mediante los recursos económicos y de personal capacitado. A su vez, debe implementar una cultura para la protección de datos personales permitiendo así concienciar a todos los empleados.Para cumplir este objetivo se deben realizar los siguientes pasos:

  • Designar a la persona o el área que asuma la función de protección de datos dentro de la organización
  • Aprobar y monitorizar el programa integral de gestión de datos personales
  • Informar de manera periódica a los órganos directivos sobre su ejecución.

Si la tarea de protección de datos personales corresponde a un área, se deberá designar una persona de dicha área como oficial de protección de datos, para que asuma dicho cargo. Si no es así la responsabilidad de elegir el oficial recaerá en el responsable del tratamiento y el encargado del tratamiento de los datos.
Esta figura será la encargada de velar por implementación de las políticas, procedimientos y buenas prácticas de gestión de datos personales y a su vez será quien estructurará, diseñará y administrará el programa.

Es necesaria la presentación de informes para evidenciar que los controles adjudicados en pro de la seguridad de los datos personales son los más adecuados, se debe implementar un plan de auditoria interna.

Ítems de Controles del Programa

Es necesaria la implantación de procedimientos operacionales, es decir, procedimientos y políticas para la protección de los datos, como por ejemplo:

  • Realizar un análisis de riesgos de acuerdo al tratamiento de la información personal dentro de las actividades de gestión operacional.
  • Llevar a cabo un inventario de las bases de datos con información personal y a su vez clasificar la información recopilada, como por ejemplo: confidencial, sensible, pública, etc.
  • Luego de que se establezca dicho inventario las bases de datos deben estar registradas en el Registro nacional de bases de datos (RNBD).
  • Políticas: debemos establecer políticas para los titulares y para la empresa donde se indiquen los principios que rigen el tratamiento de los datos, procedimientos para la recolección o recopilación, mantenimiento, uso y eliminación o disposición final. Las anteriores permiten generar conciencia corporativa.
  • Sistema de administración de los riesgos asociados al tratamiento de datos personales: algo que no teníamos en la Ley 1581 y el Decreto 1377 y en realidad un poco olvidado, el análisis de riesgos que se encuentran asociados al tratamiento de datos personales.
  • Requisitos de formación y educación: es necesario implementar un plan de capacitación en la empresa para que cubran los usuarios internos, externos y terceros.
  • Protocolos de respuesta de violación y manejo de incidentes: es necesario que contemos con un procedimiento para el manejo de incidentes o posibles vulneraciones a los sistemas de información y si nuestra empresa ya ha implementado el SGSI ya está adelantado y solo haría falta el informe y reportar el incidente al titular(es) y notificar a la SIC.
    Gestión de los encargados del tratamiento en las transmisiones internacionales de datos personales. Si la transferencia de los datos se realizara a terceros y éstos son internacionales debemos garantizar la seguridad de la información, partiendo de la confidencialidad, integridad y disponibilidad y a su vez es necesario que se alineen a los requisitos mínimos del programa integral de gestión de datos personales que se encuentra implementados en la empresa que solicito los datos personales.
  • Comunicación externa: mediante éste tipo de comunicaciones nos permitirá indicarle al titular sus derechos.

Capítulo IV Evaluación y revisión continúa

Y ya para finalizar la guía nos trae dos ítems que nos permitirán velar por el cumplimiento del programa, los cuales son:

  • Desarrollar un plan de supervisión y revisión
  • Evaluar y revisar los controles del programa

Capítulo V Demostración del cumplimiento

img2Ésta es la recta final de todo nuestro trabajo realizado donde demostraremos a la SIC el cumplimiento del programa integral de gestión de datos personales.
Y con esta información que espero les haya sido de mucha ayuda estamos listos para iniciar las labores para implementar nuestro programa integral de gestión de datos personales.

Comments

  1. http://anonimo23 says

    El articulo parece escrito por uno de los empleados del ministerio de las TIC DE COLOMBIA, no se hace analisis de la ley de proteccion de datos sino simplemente se copia y pega lo que se hizo en esa reunion, Creo que este articulo serviria mas para el tiempo.com

    por cierto esa ley de proteccion de datos se queda en el papel porque nadie la cumple ni el govierno nio nadie hace nada porque la norma se cumpla. la vez pasada me encontre con que claro no la cumplia, pero no encontre ni en que lugar denunciar esto, solo me dieron unos emails de personas que trabajan con respecto a la proteccion de datos en colombia, les escribi, les mande las pruebas y hasta el momento todo sigue igual.