La SIC recuerda el principio y el deber de seguridad en el tratamiento de datos personales

Con ocasión de un recurso de apelación la Delegatura para la Protección de Datos Personales recordó el principio y el deber de seguridad en el marco del tratamiento de datos personales a la luz de la legislación colombiana. En este caso la Superintendencia de Industria y Comercio -SIC- sancionó al Banco de Bogotá por violar “lo dispuesto en el literal d) del artículo 17, en concordancia con los literales f) y g) del artículo 4 de la misma Ley 1581 de 2012”.

Todos los incidentes de seguridad deben ser tomados seriamente y evaluados por parte de las organizaciones. Los que inicialmente parezcan irrelevantes podrían ser significativos o graves respecto de los derechos y las libertades de los Titulares de la información.

Consideraciones de la SIC

Bajo la premisa según la cual sin seguridad no hay debido Tratamiento de Datos Personales la Delegatura recordó que la normativa colombiana impone una serie de deberes a los responsables y encargados de este tipo de datos:

  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

Del principio de seguridad en comento, sostiene la SIC, tanto responsables como encargados de datos personales deben adoptar “las medidas necesarias para evitar posibles afectaciones a la seguridad de los datos”.

Pero si las medidas de seguridad fallan, las organizaciones deben estar preparadas para mitigar los riesgos y daños que se pueden causar a los derechos y libertades fundamentales de los Titulares y a las organizaciones.

Estos riesgos y daños pueden ser de gravedad y probabilidad variables, materiales o inmateriales, en particular, si esos incidentes generan situaciones de discriminación; divulgación de información o aspectos íntimos de los Titulares o daños a su dignidad, buen nombre o reputación; y afectación de datos de carácter sensible de niños, niñas y adolescentes o de personas con algún grado de discapacidad, grupos de personas en situación de especial vulnerabilidad, o en riesgo de exclusión social, o de seguridad, o cualquier otro perjuicio económico o social.

Para la entidad, en consecuencia, es necesario que las empresas cuenten con un plan de gestión de incidentes de seguridad que sea guiado desde:

i) el diseño de las actividades del Tratamiento; ii) el complemento de las políticas de seguridad de la información y protección de Datos; y iii) la ética corporativa de las empresas.

Las medidas de seguridad deben ser apropiadas considerando varios factores como: (i) los niveles de riesgo del Tratamiento para los derechos y libertades de los Titulares de los datos; (ii) la naturaleza de los datos; (iii) las posibles consecuencias que se derivarían de una vulneración para los Titulares, y la magnitud del daño que se puede causar a ellos, al Responsable y a la sociedad en general; (iv) el número de Titulares de los datos y la cantidad de información; (v) el tamaño de la organización; (vi) los recursos disponibles, (vii) el estado de la técnica, y (viii) el alcance, contexto y finalidades del Tratamiento de la información.

Consulte aquí el documento: Resolución SIC – deber de seguridad – HM