En el año 2019, la Superintendencia de Industria y Comercio impuso 14 sanciones por infracción de los deberes en el tratamiento de datos personales. A nivel pecuniario, estas sumaron aproximadamente $ 1.622.309.244 pesos.
Del total de los procesos sancionatorios, el 49% estuvieron relacionados con violaciones al deber y principio de seguridad. El alto numero de infracciones sobre la materia evidencia una falla asociada a un desconocimiento legal. Debido a lo anterior, se hará una exposición sobre el deber de seguridad y las especiales exigencias y precisiones que ha hecho la Superintendencia de Industria y Comercio al respecto.
El deber de seguridad
Este deber es desarrollo del principio de seguridad, el cual implica que “La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.
El Responsable y el Encargado del tratamiento de datos personales – según corresponda -, está obligado de manera genérica a lo siguiente:
Responsable | Encargado |
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. | Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. |
Exigencias y precisiones que ha hecho la Superintendencia de Industria y Comercio
Adicional a lo previsto en la normativa, la Superintendencia de Industria y Comercio ha señalado en las diferentes resoluciones sancionatorias lo siguiente:
- Todo Responsable del tratamiento de datos personales deberá implementar controles de seguridad conforme al tipo de base de datos que se trate – física o automatizada-, de manera que permita garantizar los estándares mínimos de protección.
- El principio de seguridad incluye contar con mecanismos para identificar con rapidez y precisión las vulnerabilidades y necesidades de corrección, implementar correcciones y verificar que las vulneraciones hayan sido corregidas.
- Además de las políticas de tratamiento de datos personales, los Responsables del tratamiento de datos personales deben contar con: i) una política de seguridad de la información; ii) un manual interno de protección; y iii) una guía de procedimientos. Lo anterior, en aras de que haya una implementación real del principio de seguridad.
- La política de seguridad de la información deberá señalar el manejo de los incidentes de seguridad, para detectar que no hayan sido objeto de vulneraciones informáticas ni de los medios tecnológicos.
- La política de seguridad de la información y el manual interno de protección: i) deben contar con la indicación de la fecha de vigencia y publicación; ii) deben socializarse con el personal encargado; y iii) deben propender por la conservación de la información de los titulares para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
En relación con las páginas web y el correo electrónico
La Superintendencia de Industria y Comercio ha manifestado lo siguiente:
- Las páginas web deben contar un certificado SSL/TLS, el cual implica que la conexión entre el Usuario y Servidor de la empresa es seguridad.
- En los correos masivos se debe garantizar que la información personal no sea divulgada a terceros no autorizados.
En relación con las Aplicaciones:
La Superintendencia de Industria y Comercio ha manifestado que los deberes de seguridad son más estrictos y exigen:
- Métodos de protección definidos e implementados, que incluyan medidas organizativas como: i) limitar el acceso a la necesidad de conocer; y ii) medidas técnicas como la creación de usuarios y contraseñas cifradas.
- Prácticas básicas de seguridad como: i) contar con mecanismos de autenticación; ii) realizar test de solidez de contraseña; iii) cifrar los datos en tránsito; iv) mantener los datos de producción real (información personal real) separado de los datos de prueba (información ficticia utilizada para desarrollar y probar aplicaciones y sistemas de TI); v) proporcionar una capacitación eficaz para el personal sobre el manejo adecuado de datos personales; vi) evaluar los riesgos de seguridad; v) asegurar que el programa de seguridad es adecuado para proteger los datos contra esos riesgos; vi) garantizar que el programa de seguridad sea efectivo en la práctica; vii) Identificar con precisión y rapidez las vulnerabilidad que necesitan corrección; viii) verificar que los controles implementados sean efectivos y corrijan la vulnerabilidad; y ix) tomar las medidas técnicas y organizada para garantizar la protección de los datos personales que tratan en todas las fases de diseño y puesta en practica de la aplicación móvil.
- Garantizar la seguridad de los datos personales, evitando el acceso no autorizado o fraudulento y el uso no autorizado o fraudulento, consulta no autorizada o fraudulenta, adulteración no autorizada o fraudulenta y perdida no autorizada o fraudulenta.
- Desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los datos personales, evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito y ser sujeto a pruebas periódicas para evaluar su efectividad.
- Desarrollar, implementar y mantener evaluaciones de impacto en la protección de datos, DPIAS o PIAS por sus nombres en inglés, que evalúen los riesgos inherentes al tratamiento de dicha información de los medios de recolección de datos. Estas evaluaciones deberán constar por escritos y estar disponibles.
- Desarrollar, implementar y mantener un programa de gestión y manejo de violaciones de seguridad en datos personales, que contemple procedimientos para informar sin dilación indebida a la Superintendencia de Industria y Comercio y a los titulares de los mismos cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos.
- Desarrollar, implementar y mantener las medidas necesarias para impedir el acceso por parte de terceros.
Las medidas, políticas y prácticas en mención son exigidas por la Superintendencia de Industria y Comercio para garantizar que el principio de seguridad no se quede solo en letras, sino que tenga una implementación efectiva, propendiendo en todo momento por la protección del titular del dato personal.
Es importante que tu compañía o negocio según sus características, cumpla con los requerimientos impuestos en la ley para evitar riesgos reputacionales y sancionatorios.
En Derecho al Alcance nos preocupamos por ti y estamos dispuestos a ayudarte.
!CONTÁCTANOS!
Tel- Whatsapp : +57 350 6755603