Nueva Ley General de Protección de Datos Personales

Pablo Felipe Robledo Superintendente de Industria y Comercio

La Ley 1581 del 2012, nueva Ley General de Protección de Datos Personales, estableció un régimen de transición de seis meses para que los sujetos obligados a su cumplimiento se adecuaran a sus disposiciones. Pues bien, este plazo, como todos, venció. A partir del 19 de abril del 2013 entró en su plena vigencia y aplicabilidad, siéndole exigible a todas las personas naturales o jurídicas, públicas o privadas, que realicen tratamientos de datos personales registrados en bases de datos.

Esta nueva ley consagra la mayoría de los principios de administración de datos personales ya previstos en la Ley 1266 del 2008, que regula el manejo de la información de carácter financiero, crediticio, comercial, de servicios y la proveniente de terceros países, contenida en bases de datos, pero le adiciona tres más: legalidad, libertad y transparencia. Tales principios constituyen el marco fundamental que rige el tratamiento de datos personales y su aplicación permite garantizar la protección del derecho fundamental de hábeas data, esto es, el derecho a conocer, actualizar y rectificar la información recogida en bases de datos.

Dadas las funciones ejercidas por la Superintendencia de Industria y Comercio (SIC) otorgadas mediante la Ley 1266 del 2008, de protección del derecho fundamental y de investigación de conductas contrarias a la normativa vigente, desde el 2009 hasta la fecha, esta entidad ha abierto más de 1.200 investigaciones e impuesto más de 370 sanciones, por un monto cercano a los 5.000 millones de pesos. Algo más de la mitad de estas sanciones corresponde a conductas relacionadas con la mala calidad de la información, mientras que una cuarta parte de estas obedece a deficiencias de las empresas en la atención de las peticiones y los reclamos presentados por los titulares. El resto de las sanciones impuestas tienen como causa fallas en el acceso a la información, la no recogida de la autorización para el tratamiento de datos personales y la falta de cumplimiento de las instrucciones dadas por la SIC como autoridad de inspección, vigilancia y control.

Dentro de las visitas de inspección realizadas por la Superintendencia a los operadores y fuentes de información durante el 2012, se detectaron fallas en los sistemas de información de los vigilados relacionadas con la seguridad y confidencialidad de la información contenida en sus bases de datos, por lo que esta entidad impartió instrucciones y elaboró planes de mejoramiento para que se realizaran los ajustes correspondientes.

De acuerdo con la experiencia alcanzada por la SIC en materia de protección de datos personales, es previsible anticipar que existe un riesgo muy elevado de que se presenten incumplimientos por inobservancia de los deberes de veracidad y calidad de la información. En esa medida, también habrá que poner especial atención al derecho del titular de solicitar la actualización y rectificación de sus datos personales, en particular, cuando se trate de datos a los que la ley ha denominado “sensibles”, así como los de los niños, niñas y adolescentes, toda vez que estos gozan de una especial protección. Por lo anterior, en el tratamiento de este tipo de información se deberán implementar medidas de seguridad más estrictas, considerando el serio impacto que podría tener sobre los derechos de sus titulares una vulneración a dichos datos. Igualmente, esto implicará que la vigilancia que ejerza la Superintendencia sobre las bases de datos en las que se registran este tipo de informaciones será más rigurosa.

Para lograr el cumplimiento de sus deberes como responsables o encargados del tratamiento, es importante que las empresas ajusten de forma inmediata sus procedimientos internos de manejo de información personal. Este ajuste permitirá, en primer lugar, garantizar el adecuado tratamiento de la información personal registrada en sus bases de datos, de manera tal que logren una adecuada administración de los riesgos a los que se encuentran expuestos y atenúen la posibilidad de materialización de estos. En segundo lugar, este procedimiento será el mecanismo a través del cual se podrá garantizar la atención oportuna de las consultas y reclamos que presenten los ciudadanos en ejercicio de sus derechos.

En todo caso, los sujetos vigilados no deben perder de vista que siempre es necesario solicitar la autorización del titular para el tratamiento de sus datos personales y conservar prueba de esta, salvo que se trate de datos públicos. En este último caso, el tratamiento de datos no se encuentra exceptuado de la aplicación de la ley, pero no se requerirá la autorización del titular para su tratamiento.

La SIC, como autoridad de protección de datos, se ha venido preparando para acometer las funciones que la nueva ley le ha otorgado. Estas funciones, similares a las que ya se vienen ejerciendo desde el 2009 en función de lo dispuesto por la Ley 1266 del 2008, amplían su facultad de vigilancia hacia todos los sectores de la economía donde se recoja información personal, sea que se haga por parte de una entidad pública o por parte de una entidad de naturaleza privada. A partir de la fecha, a través de la Delegatura para la Protección de Datos Personales de la SIC, la entidad continuará haciendo valer los derechos de los colombianos respecto de su información personal.