No proteger los datos personales puede traerle sanciones

Si bien Colombia es uno de los países de Latinoamérica que ya posee una legislación para la protección de los datos personales de sus ciudadanos, hasta hace poco las empresas empezaron a reportar sus bases de datos ante el Registro Nacional de Bases de Datos. La Superintendencia de Industria y Comercio (SIC) ya ha empezado a aplicar sanciones a quienes incumplan con las disposiciones del tema.

Los expertos Carolina Hernández, gerente senior de asesoría legal, y Juan Mario Posada, gerente de consultoría, responden a las preguntas sobre las sanciones que puede imponer la Superintendencia de Industria y Comercio y la efectividad de la Ley de Protección de Datos Personales.

1. Las cifras muestran falta de conciencia en los planes de protección de información, ¿a qué se exponen las compañías que no implementen un buen plan de protección?

Las sanciones dependen del tamaño de la empresa y otros aspectos, pero pueden llegar a los 2000 SMLV e incluso se plantea el escenario del cierre de operaciones. No sería de extrañar que se presente un caso de cierre de operaciones, que establezca un precedente para que muchos que aún no han tenido acciones concretas de fortalecimiento, tomen en serio el cumplimiento de la Ley. Ofrecemos a nuestros clientes un equipo de asesores legales y asesores de riesgos, procesos y seguridad que se complementan para ofrecer una solución que va desde la interpretación de la Ley adaptada a la empresa hasta la implementación de planes de acción para cerrar las brechas identificadas en materia del cumplimiento de la regulación vigente.

2. Costear la ciberseguridad pareciera una necesidad solo para grandes compañías, ¿cómo se pueden proteger las Pymes, que dominan el mercado nacional?

Este es un paradigma que existe y que estamos desafiados a romper. Es común oír expresiones como “no somos un Banco” o “ni que estuviéramos en la NASA”. Sin embargo, lo que demuestran las estadísticas del ColCERT acerca del cibercrimen es que no es necesario ser grande para ser objetivo criminal. Cerca del 43% de los incidentes digitales de 2015 tuvieron como objetivo a ciudadanos del común que pasan gran parte de su tiempo frente a sus computadores de trabajo.

Por otra parte, pensando en las Pymes exclusivamente y su necesidad estratégica de abordar la gestión de ciberseguridad, creemos que es importante empezar por tener claro los riesgos a los que se enfrentan por la naturaleza del negocio que atienden. Una vez se conocen los riesgos, es necesario gestionarlos teniendo en cuenta la alineación con los objetivos estratégicos del negocio. En EY tenemos un equipo multidisciplinario de profesionales (tanto a nivel local como alrededor del mundo) que puede ofrecer alternativas aterrizadas para gestionar los riesgos relacionados con la ciberseguridad.


Es evidente que la ciberseguridad se hace más necesaria en la medida en que los procesos de personas y empresas entran en el ámbito digital, Colombia lo tiene claro y creó la legislación mencionada anteriormente; ¿Cómo vamos en este tema? Nuestros expertos responden:

3. ¿En el entorno nacional la ciberseguridad y la protección de datos se ha enfocado hacia la prevención o la reacción?

Tradicionalmente se ha abordado con un enfoque reactivo, no sólo en el mercado nacional, sino en el mundo entero, . Pero es evidente que el enfoque preventivo reduce el impacto. No significa que nada vaya a suceder pero es muy cierto que si se plantean los escenarios de riesgo y las posibles alternativas para mitigarlos, el impacto va a ser mucho menor.

4.  ¿Qué tan eficaz, es la ley de protección de datos aplicada en el país? ¿Hay algún balance ya?

Es evidente, y las cifras lo demuestran, que el recaudo de la Superintendencia de Industria y Comercio (SIC) por sanciones por incumplimiento de la Ley de protección de datos personales ha crecido exponencialmente. Sin embargo, es pronto para sacar un balance. No obstante, la realidad muestra que muchas de las empresas del país hasta ahora están reaccionando ante  la fecha límite para el registro de las bases de datos personales en el Registro Nacional de Bases de Datos. Las empresas, hoy, le están dando mayor relevancia a una Ley que, reitero, se debió empezar a cumplir desde el 2012.

Ahora bien, en tanto la inminencia del registro de las bases de datos personales ha implicado que los empresarios colombianos vuelquen su interés en la implementación efectiva de las medidas previstas en la ley y en los desarrollos que de la misma ha hecho la SIC; también,  las compañías, están haciendo la transición de políticas de privacidad y autorizaciones, que cumplían ‘en el papel’, a la implementación de programas integrales de gestión de datos personales. En ese sentido, podría afirmarse que el régimen legal de protección de datos personales Colombiano está siendo efectivo.

Finalmente, la facilidad de los mecanismos que ha implementado la SIC para interponer quejas y reclamos por infracciones al régimen de protección de datos personales, ha hecho que todos nos sintamos empoderados para hacer efectivos los derechos y obligaciones allí previstos. En esa medida, todos los titulares de datos personales somos gestores de la efectividad de ese régimen.

5. ¿Cómo está el país respecto a otras naciones que ya tienen legislaciones en este aspecto?

la regulación colombiana en materia de protección de datos personales parte de la consagración constitucional de un derecho fundamental, mientras que en otras legislaciones el tema se maneja a través de legislaciones sectoriales dispersas. En ese sentido, la regulación colombiana se ajusta a estándares internacionales, incluso los existentes en países desarrollados que llevan trabajando el asunto por bastante tiempo. De hecho, la autoridad de protección de datos personales ha incluso acogido recomendaciones de buenas prácticas de la OCDE, tal como la aplicación del principio de responsabilidad demostrada.