La SIC recuerda la responsabilidad demostrada y el 'compliance' en el manejo de datos personales

La SIC recuerda la responsabilidad demostrada y el 'compliance' en el manejo de datos personales

Con ocasión de un recurso de apelación la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio -SIC- recordó el deber de accountabilty o responsabilidad demostrada y el ‘compliance’ en el manejo de todo tipo de dato personal. En este caso analizó la SIC si la sociedad sancionada incumplió con el deber de notificar al titular de la información antes de generar el reporte negativo ante los operadores, consagrado en la Ley 1266 de 2008 (la cual aborda el tratamiento de bases de datos “en especial la [información] financiera, crediticia, comercial, de servicios y la proveniente de terceros países”.

Consideraciones de la SIC

La Delegatura inició su análisis recordando que “la comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa”. Este artículo establece, recuérdese, que:

Artículo 12. Requisitos especiales para fuentes. Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Título III de la presente ley.

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de Bancos de Datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y ésta aún no haya sido resuelta.

Para la entidad

[s]i se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal.

La SIC recordó, de igual forma, que a criterio del máximo tribunal constitucional -en la sentencia T-227 de 2003-

“existe un deber constitucional de administrar correctamente y de proteger los archivos y bases de datos que contengan información personal o socialmente relevante”.Adicionalmente, quienes recolectan, tratan o usan datos personales no son dueños de esa información sino meros tenedores que están en el deber de administrar de manera correcta, apropiada y acertada la información de las personas porque su negligencia o dolo en esta materia afecta los derechos humanos de los titulares de los datos.

Bajo esa premisa en el ordenamiento jurídico se estableció la responsabilidad demostrada o accountability, término que implica que

[se deben] implementar acciones de diversa naturaleza20 para garantizar el correcto cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. El mismo, exige que los operadores, las fuentes y los usuarios pongan en marcha medidas apropiadas, efectivas y verificables que le permitan evidenciar la observancia de las normas sobre la materia.

(…)

La responsabilidad demostrada precisa menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. Requiere apremiar acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los datos personales. (subraya fuera del texto original).

En el marco de estos criterios para la SIC resulta necesario que  los administradores de las organizaciones sean proactivos respecto del tratamiento de la información de manera que por iniciativa propia adopten medidas estratégicas capaces de garantizar los derechos de los titulares de los datos personales y su gestión siempre sea respetuosa de los derechos humanos”.

La entidad concluyó señalando, además, que

[l]a responsabilidad demostrada se articula con el concepto de “Compliance” en la medida que éste hace referencia al “conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”

Consulte aquí el documento: Resolución apelación SIC – habeas data – HM