Los requisitos que debe cumplir una empresa en materia de protección de datos personales
Toda empresa debe tomar en cuenta, al momento de tratar los datos personales de sus clientes, asociados, proveedores o a título personal, el cumplimiento de los principios generales de protección de datos.
Lo primero que puedo recomendar a toda empresa es que identifique que, efectivamente, su actividad comercial se encuentra dentro de lo que señala la Ley 81 de 2019 sobre datos personales.
Con el pago del Seguro Social todos los meses, se crea una sección de base de datos personales de la empresa identificada, del patrono hacia una institución del Estado, que obliga a que en esa relación laboral exista un pago de la seguridad social.
Segundo, toda empresa debe contar con un protocolo de tratamiento de datos personales, que va desde cómo se obtienen los datos personales, una información necesaria para que mis clientes sepan qué voy a hacer con sus datos, si los voy a utilizar en mi página web, en mis afiches, en mis formularios, entre otros. El protocolo involucra saber qué tratamiento le voy a dar a esos datos personales, por cuánto tiempo los voy a mantener en mi base de datos y finalmente cuándo y cómo voy a destruir esos datos; porque la ley establece un periodo de tiempo para conservarlos y unas condiciones especiales.
Importante es que toda empresa tome en consideración, al momento de tratar los datos personales de sus clientes, asociados, proveedores o a título personal, el cumplimiento de los principios generales de protección de datos. Son nueve los principios que la ley establece y deben ser de fiel cumplimiento.
El principio de lealtad indica la forma en que deben recabarse los datos, de una manera leal, sin engaños ni segundas motivaciones.
El principio de finalidad obliga al responsable del tratamiento de datos personales a comunicarle al titular para qué van a ser utilizados. Si en el transcurso del tratamiento surge otra finalidad, debe comunicársele y solicitarle una nueva autorización.
El principio de proporcionalidad indica que los datos personales solicitados al titular deben guardar relación estrecha con la finalidad original y no solicitar datos excesivos
El principio de veracidad y exactitud se basa en que los datos personales deben ser exactos, estar actualizados y deben responder a la veracidad de la situación actual de cada propietario o titular.
El principio de seguridad involucra todas las herramientas, ya sea manuales o tecnológicas, que debemos ubicar para que el tratamiento de datos personales, al igual que la base de los datos personales, se encuentren de manera segura y no sean accedidas de manera ilegal por terceros que no tienen participación dentro del tratamiento.
El principio de transparencia se basa en la comunicación que debe existir entre el responsable del tratamiento y el titular de los datos personales; esta debe ser clara y sencilla para que el titular pueda entender sin problema todo lo que guarde relación con el tratamiento de datos personales.
El principio de confidencialidad no es más que el deber de guardar secreto y cuidar los datos que se te han confiado. Y esta responsabilidad continúa aun cuando ya finalice el tratamiento. Esta responsabilidad es tan amplia que involucra al responsable del tratamiento y a todos sus colaboradores.
El principio de licitud indica que todo tratamiento de datos debe ser lícito, contar con un consentimiento previo informado e inequívoco del titular de los datos personales o estar legitimado con algún fundamento legal.
Y el principio de portabilidad indica que el responsable del tratamiento, a solicitud del interesado o titular de los datos personales, debe entregarlos en un formato genérico, estructurado y utilizado por el mismo titular de los datos o por otro proveedor de algún servicio.
Tercero, es importante que todo responsable de datos personales capacite a su personal. No es un tema que solo deben manejar los abogados dentro de una empresa, ni el departamento de informática, sino que debe ser de conocimiento de todo el personal involucrado en el tratamiento de los datos personales, desde la recepcionista hasta el gerente general. ¿Y eso por qué? Si una recepcionista hace mal uso de un dato personal, puede hacer sancionable a la empresa para la cual trabaja. Y si un gerente no tiene el conocimiento necesario para establecer políticas de uso correcto de los datos personales, entonces puede enfrentar una multa, que la aplicará la Autoridad de Control que puede oscilar entre los B/.1,000.00 y B/.10,000.00 por evento.
Cuarto: Cada empresa debe contar con asesoría idónea en este tema, un cuerpo de asesores legales que la guíe para que todos los proyectos y las bases de datos estén debidamente registrados como la ley mandata; de allí la importancia de tener un buen registro de base de datos, lo que llamamos comúnmente una base de legitimación para el almacenamiento de los datos personales.
Quinto: Valorar la necesidad de tener un oficial de protección de datos personales dentro de la empresa o fuera de ella, porque la ley permite la posibilidad de tener este servicio contratado de manera externa para que cumpla, asesore y haga que el resto del personal se capacite y esté debidamente formado, incluso que ayude a establecer políticas internas de los tratamientos de datos personales.
En resumen, estas son las obligaciones más importantes que debe tener toda empresa o persona natural que se dedique a realizar tratamiento de datos personales en cumplimiento de lo que ordena la Ley 81 del 2019 y el Decreto Ejecutivo 285 de mayo de 2021.