FALTA DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES Y SU RESPONSABILIDAD ADMINISTRATIVA

FALTA DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES Y SU RESPONSABILIDAD ADMINISTRATIVA 

¿Qué sucede si una persona jurídica tiene una fuga de datos personales por falla informática o por error humano?

Las sociedades o personas jurídicas responsables del tratamiento de datos personales (RECOLECTAN Y ALMACENAN), pueden verse inmersas en visitas de la Superintendencia de Industria y Comercio (@sicsuper), que verificaran las condiciones de seguridad en que se almacenan los datos personales recolectados.

El resultado de la visita puede terminar en emitir una orden como esta:

“Implementar controles y mecanismos que eviten el riesgo de fuga de información de los equipos de cómputo a través de medios extraíbles y/o softwares maliciosos, de manera que se garantice el cumplimiento de las medidas mínimas de seguridad de la información para cumplir con lo señalado en el literal d) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal g) del artículo 4° ibidem” (Resolución No 14358 de 2023)

También personas jurídicas responsables del tratamiento de datos personales pueden ser objeto de investigaciones administrativas las cuales finalizan con la imposición no solo de ordenes, sino también de multas:

“ARTÍCULO PRIMERO: IMPONER una sanción pecuniaria a la sociedad … identificada con NIT. 901.173.609-5, de SEIS MILLONES TRESCIENTOS SESENTA Y UN MIL OCHOCIENTOS PESOS M/CTE ($ 6.361.800), equivalente a CIENTO CINCUENTA (150) UNIDADES DE VALOR TRIBUTARIO - UVT, por la violación del literal n) del artículo 17 de La Ley 1581 de 2012, en concordancia con lo establecido el artículo 4 literal a) y g) de la misma norma.”(Resolución No 31866 de 2023)

El responsable del tratamiento de datos personales tiene la obligación de cumplir los principios de la administración de datos señalados en el artículo 4° de la Ley 1581 de 2012, entre los cuales el de seguridad:

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

El régimen de responsabilidad administrativa para el responsable de tratamiento de datos personales, tiene un componente sustancial/probatorio; deben demostrar una debida diligencia en el cumplimiento de sus obligaciones legales respecto de los datos personales, en especial la adopción de acciones seguras, como medidas técnicas, humana y administrativas, para evitar entre otras conductas acceso no autorizado o fraudulento a los datos personales.

Entonces es probatorio por cuanto tiene la carga de la prueba; y sustancial por cuanto lo que debe probar es que adopto las medidas necesarias a su alcance.

Ello si quiere exonerarse o minimizar el grado de responsabilidad, “ser capaces de demostrar … que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 20125 ”. (Artículo 2.2.2.25.6.1. DEMOSTRACION. Decreto Único Reglamentario 1074 de 2015)

Es a partir de ello que la Superintendencia de Industria y Comercio (@sicsuper); exige del Responsable del tratamiento de datos personales, analizar cuál es el estado del riesgo, en la recolección y almacenamiento de estos; revisando el sitio y medio en el que se recolecta y “almacena la información, personas que tienen acceso a la misma, entre otras”.

Entonces la Superintendencia de Industria y Comercio (@sicsuper); encuentra en algunos casos:

• Los equipos de cómputo no cuentan con restricción de navegación, debido a que tiene acceso a plataformas de almacenamiento o archivo en nube.
• No cuentan con restricción de navegación, debido a que tiene acceso a redes sociales.
• Por último, en ambos casos, en los equipos de cómputo se comprobó́ que es posible conectar unidades externas USB. 

(Resolución No 14358 de 2023)

Tales hechos condujeron a la Superintendencia a emitir unas órdenes para corregir las fallas de seguridad que presentaba el responsable de tratamiento de datos, pero las mismas fallas, ante hechos concretos de revelación de datos personales y dentro de una investigación administrativa, además de las ordenes correctivas también involucran la imposición de una multa.

Y es que el riego en que se incurre “es que se facilita la posibilidad de una fuga de información en caso de que una persona no autorizada o ajena a la sociedad tenga acceso a esos equipos, lo cual genera un riesgo de seguridad para los datos personales almacenados en dichos equipos, exponiéndolos a una posible vulneración al derecho de habeas data de sus titulares"

Los datos personales son un activo de cada persona pero que eventualmente se le entregan en administración y custodia a las personas jurídicas, imagínese un responsable de tratamiento de datos personales administrando un activo de un tercero sin medidas de seguridad.