Protección de datos: Colombia implementa el principio de responsabilidad demostrada en el habeas data financiero
Comentario Protección de Datos Colombia
Con la incorporación de este principio, las empresas que intervienen en el flujo de información personal financiera deben adecuar sus procedimientos internos e implementar medidas apropiadas, efectivas y verificables acerca del adecuado tratamiento de esta tipología de información.
Con la expedición de la nueva Ley de Borrón y Cuenta Nueva (Ley 2157 de 2021), se introdujo al régimen de habeas data financiero el principio de responsabilidad demostrada (accountability). Esto implica que las empresas que realizan el tratamiento de datos personales de naturaleza financiera, comercial y crediticia deben implementar medidas y directrices efectivas en su interior para el cumplimiento de la normatividad en materia de protección de datos, privacidad y seguridad.
Aunque se trata de un concepto que, a nivel normativo, es nuevo para el régimen aplicable al tratamiento de datos relacionados con el cumplimiento de obligaciones crediticias, dicho principio ya se encontraba consagrado en el régimen general de protección de datos colombiano, específicamente en el Decreto 1074 de 2015, reglamentario de la Ley 1581 de 2012. La implementación del mencionado principio en el habeas data financiero ciertamente abre un abanico de obligaciones a cargo de los operadores, fuentes y usuarios de información financiera, materializables no solo en herramientas que se plasmen en el papel, sino particularmente en acciones que demuestren fehacientemente el cumplimiento de la ley.
¿Qué es el principio de responsabilidad demostrada?
De acuerdo con la Guía para la Implementación del Principio de Responsabilidad Demostrada expedida por la Superintendencia de Industria y Comercio (SIC) en 2019, la responsabilidad demostrada es un principio fundamental según el cual los agentes que participan en el tratamiento de datos personales deben ser responsables del cumplimiento efectivo de las medidas implementadas para la protección de los principios de privacidad y protección de datos.
Aunque las directrices contenidas en esta guía fueron diseñadas para acompañar la aplicación del régimen general colombiano en la materia, aportan un referente útil para comprender el alcance del principio y la manera en la que debe ser aplicado por las empresas obligadas a garantizar el habeas data financiero.
¿Qué deben hacer las empresas?
Las principales obligaciones para la implementación del principio refieren a la necesidad de ejecutar un programa integral de protección de datos, así como a la previsión de estar en capacidad de demostrar a la autoridad la implementación efectiva de las medidas diseñadas.
A pesar de tratarse de una guía que no fue diseñada para el habeas data financiero, coincide con los términos del principio de responsabilidad demostrada introducidos en la nueva legislación, al destacar la necesidad de las empresas de garantizar que su estructura administrativa es acorde para los retos que representa el tratamiento de datos personales, adoptar programas de educación y entrenamiento para dichos propósitos, y de ejecutar procesos eficaces para la atención de las consultas y reclamos de parte de los titulares de la información.
Su aplicación es obligatoria
A partir de la incorporación de este principio en la ley, es obligatorio para las empresas que intervienen en el flujo de información personal financiera adecuar sus procedimientos internos e implementar medidas apropiadas, efectivas y verificables acerca del adecuado tratamiento de esta tipología de información. La implementación de este principio recae sobre todas las empresas que consultan y reportan a las centrales de riesgos cualquier información acerca del cumplimiento o incumplimiento de obligaciones por parte de sus clientes.
Elementos determinantes para la aplicación del principio
La obligatoriedad del principio involucra la aplicación de medidas efectivas para el respeto de los derechos de los titulares a consultar y actualizar su información, la atención oportuna de reclamos, la confidencialidad, seguridad y reserva de la información, el respeto por el derecho al olvido emanado de la caducidad de los reportes negativos de información, la verificación de tiempos de permanencia de datos sobre el incumplimiento de obligaciones, el cumplimiento de requisitos y comunicaciones previas para el reporte a centrales de riesgos crediticios, entre otros.
Parámetros para su aplicación
Las medidas efectivas deben ser diseñadas en atención a los siguientes factores:
- Su naturaleza jurídica.
- La naturaleza de los datos que son tratados.
- El tipo de tratamiento que se lleva a cabo con la información.
- Los riesgos potenciales en contra de los derechos de los titulares.
Las empresas deberán guardar evidencia de la previsión y diligencia tomada para el cumplimiento de la normatividad aplicable, lo cual podrá ser requerido, en cualquier momento, por la autoridad competente.
Plazo para su aplicación
Es importante anotar que no se otorgó un plazo de gracia para que las empresas adecuaran y afinaran sus políticas internas al principio de responsabilidad demostrada, acudiendo precisamente a la familiaridad que, según la Corte, las empresas tienen con el régimen de habeas data financiero. En tal sentido, la verificación del cumplimiento de este principio, por las autoridades, es inmediata.
Medidas puntuales para la aplicación del principio
En la guía antes mencionada, la SIC destaca varias medidas que deben ser implementadas a efectos de contar con un programa eficaz al interior de las empresas para la adecuada gestión de datos de naturaleza personal. Entre ellas destacan las siguientes:
- El compromiso interno de la organización y la alta gerencia. Refiere a la implantación de la cultura de respeto a la protección de datos en cada uno de los miembros de cualquier organización empresarial, destacándose que el compromiso debe provenir no solo de las áreas que tienen una interacción directa con la información, sino de la alta gerencia.
- Designación del oficial de cumplimiento. La implementación de la figura del oficial de cumplimiento alude al área o persona designada al interior de la empresa para la atención de los derechos de los titulares de la información. Su labor debe comprender también el velar por la implementación efectiva de las políticas y procedimientos en materia de privacidad.
- Adopción de políticas efectivas. El diseño y aplicación de directrices especiales en materia de privacidad encaminadas a gobernar y controlar los procesos que involucran el tratamiento de datos personales.
- Programas de cumplimiento y monitoreo. La guía menciona que las organizaciones deben adelantar procesos de debida diligencia a su interior para velar por el compromiso interno efectivo con los asuntos de protección de datos.
- Sistemas de administración de riesgos. En adición a la implementación de sistemas que les permita a las organizaciones medir los riesgos presentes en el tratamiento de información, estos deben estar implementados para el manejo y mitigación de incidentes de seguridad en caso de que ocurran.
- Programas de formación continua. Uno de los componentes esenciales del principio es la formación de los miembros de las empresas en todo nivel, para que estén en capacidad de identificar y analizar las principales obligaciones en materia de protección de datos.
Estos son algunos de los componentes que deben acreditar las empresas para el adecuado tratamiento de datos personales, que ahora son claramente aplicables al procesamiento de datos de naturaleza personal emanados del cumplimiento de obligaciones financieras, comerciales y crediticias. Ahora, a las empresas les corresponde ajustar las medidas existentes a la capacidad de demostrar, no solo el cumplimiento de la ley general de privacidad, sino igualmente lo alusivo al habeas data financiero regulado principalmente por la Ley 1266 de 2008 y sus reglamentos.
Más información:
La guía puede ser consultada en este enlace.
La Ley 2157 de 2021 puede ser consultada aquí.
Profesional de contacto
