¿Qué es la política de tratamiento de datos personales y cómo se aplica?

Mediante la política de tratamiento de datos personales, las empresas deben garantizar que sus clientes conozcan y autoricen el manejo de su información.

Una campaña de fidelización para clientes, empleados y proveedores o un lanzamiento de ofertas de tus productos o servicios son algunos de los casos en los que requieres una base de datos. Sin embargo, para el uso de esta es necesario cumplir con la política de tratamiento de datos personales, un mandato legal que busca proteger la privacidad de los ciudadanos.

“Esta política dice que todas las personas que cuenten con bases de datos que se salgan del ámbito estrictamente privado o familiar tienen que establecer los procedimientos para la recolección, el almacenamiento, la administración y la disposición final de la información de los titulares”, explica Diego Buitrago, docente investigador de la Facultad de Derecho de la Universidad CES.

Cuando una empresa recolecta datos, sin importar si opera como persona natural o jurídica, o si es pública o privada, debe comunicar las finalidades específicas de la información ante sus titulares. “Los datos no se pueden recoger sin que el titular sepa qué van a hacer con ellos, cómo los van a almacenar, cómo los van a tratar, cuáles son los objetivos. Además, deben contar con una autorización previa, expresa e informada”, dice el experto.

Según la Superintendencia de Industria y Comercio, para la aplicación normativa, que modificó un sistema antiguo en el que las personas eran incluidas en este tipo de documentos sin que se les notificara, es indispensable tener en cuenta nueve recomendaciones:

• Recolectar la información con una finalidad clara y una autorización oral o escrita (hay que conservar la evidencia).
• Destinar a una persona o un área para la protección de los datos. 
• Establecer procedimientos de corrección y actualización de la información.
• Capacitar a los empleados para la correcta manipulación de los datos.
• Clasificar las bases de datos en categorías como información sensible, confidencial o pública.
• Identificar las etapas en las que se recolectan, almacenan, utilizan y circulan los datos personales en la organización.
• Analizar los riesgos que tiene la manipulación de los datos al interior de la empresa y prever el impacto de manejos indebidos.
• Incluir cláusulas de confidencialidad y manejo de información personal en los contratos de los empleados.
• Comunicar de forma clara, ante los titulares de la información, cuáles son sus derechos y el valor de sus datos para la empresa.

¿Qué puede hacer el titular de la información si se vulneran sus derechos? 

Si al momento de ser contactado por una empresa, el ciudadano no está seguro de que esta cuenta con la autorización para usar su información personal, “puede exigir el certificado del permiso y, si no lo tiene, la eliminación de sus datos con su respectiva notificación. Si no se cumple, tiene la potestad de solicitar una investigación en la Superintendencia de Industria y Comercio”, afirma Diego Buitrago.

De este procedimiento quizá resulten sanciones como la suspensión temporal o el cierre definitivo de la base de datos y una multa hasta de dos mil salarios mínimos mensuales legales vigentes (lo que equivale a mil seiscientos millones de pesos aproximadamente).

La política de protección de datos no es voluntaria y, para las entidades privadas con un activo superior a tres mil millones de pesos, se impone una obligación: hacer el Registro Nacional de Bases de Datos (RNBD), un inventario de este tipo de documentos que se reporta ante la Superintendencia de Industria y Comercio (sin la información de los titulares) e incluye campos como número de usuarios, finalidades, lugares de almacenamiento y medidas de seguridad.

Buitrago asegura que la custodia de los datos es una responsabilidad compartida entre quien los recibe y quien los entrega. Asimismo, recomienda atención especial en la construcción de bases de datos sensibles, es decir, aquellos que al divulgarse pueden generar algún tipo de discriminación (información sobre niños, niñas y adolescentes; estado de salud, orientación sexual, creencia religiosa, participación en partidos políticos y sindicatos, entre otros).

Fecha de publicación: diciembre 23 de 2020.