Cómo cumplir la normativa y proteger de forma adecuada la información de tus grupos de interés

En el entorno corporativo actual, la gestión de datos personales se ha convertido en una pieza clave de los programas de compliance y de cualquier estrategia empresarial. Tal como lo expone el abogado Luis Fernando Romero, no se trata únicamente de “cumplir por ley”, sino de proteger uno de los activos más sensibles de la organización: la información de colaboradores, clientes, proveedores, aliados y visitantes.

La Superintendencia de Industria y Comercio (SIC) en Colombia es la entidad encargada de supervisar la correcta implementación de la Ley 1581 de 2012 y sus normas reglamentarias, pudiendo llegar a imponer severas sanciones (multas de hasta 2,000 salarios mínimos, suspensiones de actividades, cierres de operaciones, entre otras) a las organizaciones que incumplan. A continuación, se destacan los conceptos y principios esenciales que toda empresa debe conocer para estructurar un programa de protección de datos personales:

Tipos de Datos Personales

Públicos: Son aquellos que pueden consultarse libremente (por ejemplo, información de cámaras de comercio o registros públicos). No obstante, su libre acceso no implica un tratamiento irrestricto ni desprotegido.

Privados o Semi-privados: Información que, sin ser reservada, solo interesa a un grupo específico (p.ej., historiales crediticios o datos de clientes). Su uso requiere autorización.

Sensibles: Aquellos que pueden generar discriminación o afectación a la intimidad (orientación sexual, creencias religiosas, salud). La ley restringe fuertemente su tratamiento, exigiendo medidas de seguridad especiales y autorizaciones explícitas.

Obligación de Implementar un Programa de Datos Personales

Toda empresa (pública o privada) que maneje información de personas naturales debe contar con un sistema de protección de datos alineado a la Ley 1581. Aunque algunas entidades (con activos superiores a 100,000 UVT) están además obligadas a registrar sus bases de datos ante la SIC, todas —sin excepción— deben crear políticas, manuales y procedimientos que regulen el ciclo de vida de la información: recolección, uso, almacenamiento, transmisión y eliminación.

Autorización y Aviso de Privacidad

El principio general es que el titular de la información otorgue una autorización previa e informada. Esta puede darse por escrito, de forma oral (por ejemplo, durante una llamada que deja registro) o por conductas inequívocas (como al ingresar a instalaciones con aviso de videovigilancia).

Aviso de Privacidad: Comunicación dirigida a los titulares que describe la existencia y características de la política de tratamiento de datos. Suele usarse en sitios web, formatos digitales o físicos y contratos de corta duración.

Derechos del Titular

Según la normativa, las personas tienen derecho a:

Conocer, actualizar y rectificar sus datos en cualquier momento.

Solicitar prueba de la autorización otorgada.

Ser informadas sobre cómo se usa su información y a quién se transmite.

Revocar la autorización cuando no exista un vínculo contractual vigente o un interés superior que justifique mantener los datos.

Principios Rectores

Finalidad: Recolectar únicamente datos necesarios para un fin legítimo y concreto.

Seguridad y Confidencialidad: Implementar controles para evitar accesos no autorizados, brechas o fugas de datos.

Veracidad y Calidad: La información tratada debe ser exacta, completa y mantenerse actualizada.

Acceso y Circulación Restringida: Sólo el personal autorizado puede acceder a las bases de datos, respetando cláusulas de confidencialidad.

Registro Nacional de Bases de Datos (RNBD)

Las empresas con activos a partir de 100,000 UVT deben inscribir ante la SIC todas sus bases de datos personales (empleados, clientes, proveedores, etc.), actualizar la información de manera periódica y reportar posibles reclamos de los titulares, así como cambios sustanciales en el contenido o la finalidad de dichas bases.

Incidentes de Seguridad

Cualquier brecha, hackeo, acceso indebido o pérdida de información que comprometa datos personales debe reportarse a la SIC en un plazo máximo de 15 días hábiles, a la par de activar protocolos internos de contingencia y recuperación de la información.

Responsabilidad Demostrada (Accountability)

La empresa debe evidenciar sus buenas prácticas y la eficacia de sus medidas de protección ante cualquier requerimiento de la SIC. Ello incluye disponer de auditorías internas, controles de acceso, registros de incidentes y capacitaciones regulares al personal.

La correcta implementación de un programa de protección de datos no solo evita sanciones onerosas, sino que también fortalece la reputación corporativa y la confianza de los grupos de interés. En última instancia, proteger los datos de manera adecuada es proteger el capital más valioso de la organización: las personas y la información que comparten.

¿Qué procesos internos podrías reforzar o reestructurar hoy mismo para garantizar un tratamiento de datos personales ético y seguro en tu organización?