La Superintendencia de Industria y Comercio emite ordenes a 148 empresas para que implementen medidas adecuadas que garanticen la protección de datos personales

Situación fáctica: La Superintendencia emitió órdenes a 148 empresas para que implementen medidas adecuadas dirigidas a garantizar la seguridad de la información de las personas, atendiendo al hecho de que muchas de estas empresas, que tratan datos sensibles dentro de su actividad comercial, afirmaron no haber hecho nada respecto a las preguntas de seguridad y protección de datos.

Fundamento jurídico: Los datos y argumentos más relevantes en los cuales se basó la Superintendencia para emitir órdenes a las 148 empresas, fueron los siguientes:

  • Teniendo en cuenta que las empresas identificadas manejan datos sensibles, respecto de los cuales la Corte Constitucional ha manifestado la existencia de una responsabilidad reforzada que exige mayores medidas de seguridad (articulo 5, Ley 1581 de 2012), resulta preocupante que la mayoría de ellas se dedique a actividades económicas que lidian esencialmente con el manejo de datos personales, a saber: el sector comercio (19,6%), construcción (14,2%), actividades financieras y de seguros (13,5%), industria manufacturera (10,1%), transporte y almacenamiento (9,5%).
  • La mayoría de las empresas se encuentran ubicadas en Bogotá, con un 40,54%. De resto, se encuentran en Medellín (10,14%), Barranquilla (8,1%), Cali (8,1%), Bucaramanga (3,38%), Santa Marta (3,38%), Cartagena, Cota, Cúcuta, Dosquebradas, Envigado, Mosquera, Neiva y Pereira (todas las anteriores con un 1,35% cada una).
  • Según la Ley 1581 de 2012, todas las empresas y entidades públicas tienen la obligación de implementar medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento. Asimismo, deben conservar la información bajo condiciones de seguridad necesarias y optimas para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
  • Únicamente el 34% de los responsables del tratamiento de datos personales respondieron haber cumplido con los requerimientos sobre seguridad. Lo cual significa que el 65,7% de las empresas y entidades publicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.
  • Únicamente 884 (2,7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.
  • El 79% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible.
  • El 88% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal., y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
  • El 82% de los responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
  • El 71% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. De este 71%, tanto en el sector público como el privado, el 27,8% de las entidades públicas y sociedades privadas tienen Encargados de Tratamiento.

En concreto, las órdenes impartidas por la Superintendencia se dieron por cuenta de que ésta ultima pudo constatar que la Gobernación de Santander no estaba realizando un adecuado manejo de la seguridad de los datos personales, pues solo registro algunas bases de datos de contratistas, omitiendo registrar las bases de datos con información de los ciudadanos que acuden a los servicios de la Gobernación y los servidores públicos.

A través de la pagina web de la Gobernación, la Superintendencia detectó que se han inscrito mas de 13 millones de personas para recibir noticias mediante correo electrónico, pero dicha base no se inscribió ante la Superintendencia. Asimismo, se determinó que no se registraron todas las bases de datos de las dependencias que forman parte la entidad.

En consecuencia, la Superintendencia ordenó al Gobernador del departamento de Santander acreditar el cumplimiento de las directrices relativas a la protección de datos personales.

 

Fuente: Ver órden

publicaciones@kapitalfamily.com

Deja un comentario

1 Comentario

Envía un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *