El principio de Responsabilidad Demostrada o «Accountability»

Hoy más que nunca la protección de los datos personales cobra especial relevancia y como consecuencia, su tratamiento debe hacerse con la mayor responsabilidad. La expedición en Colombia de normas como la ley 1581 de 2012 y el decreto 1377 de 2013 constituyen la columna vertebral para la protección de los datos personales, que se derivan de su máxima norma, es decir, la plasmada en el artículo 15 de la Constitución Política.

Desde hace más de treinta (30) años se utiliza el término de responsabilidad demostrada para el tratamiento de datos personales, el cual enfatiza el rol del Responsable del Tratamiento para implementar medidas dentro de una entidad orientadas a cumplir con el resto de principios consagrados en las Guías para la protección de la privacidad de la OCDE en 1980. A partir de estas Guías, se han aunado esfuerzos de entidades colombianas (y de otras partes del mundo) para construir un “Programa Integral de Gestión de Datos Personales” dirigido a aquellos obligados al cumplimiento del régimen general de datos personales y vigilados por la Superintendencia de Industria y Comercio.

El principio de “accountability” está plasmado en el literal k) del artículo 17 de la ley 1581 de 2012 y en los artículos 11, 26 y 27 del Decreto 1377 de 2013, los cuales indican que aquellos responsables o encargados del tratamiento de datos personales deben demostrar que han realizado:

  1. Políticas y manuales para el efectivo tratamiento de datos personales.
  2. Procedimientos para la recolección, el tratamiento y supresión de datos personales.
  3. Que han implementado una estructura administrativa adecuada y proporcional al tamaño, naturaleza y necesidades de la empresa.
  4. Cuentan con un sistema propicio para la atención de reclamos, consultas de los titulares y respuesta de PQR.
  5. Tienen la capacidad de garantizar la confidencialidad y seguridad de la información.

Lo anterior genera que los datos personales de las personas cuenten con una protección especial, y los titulares de los datos conozcan los fines concretos para los que serán utilizados sus datos.

El decreto 1377 de 2013 también consagró que es deber de los Responsables del Tratamiento, a petición de la Superintendencia de Industria y Comercio, demostrar que han implementado las medidas necesarias para cumplir con este principio, ya que la SIC, como máxima autoridad sancionatoria en materia de protección de datos, deberá tener en cuenta las políticas implementadas al momento de imponer una sanción.

Como complemento a este principio, el decreto 886 de 2014 fue expedido con el objetivo de reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, la cual, en un primer momento debía ser completada por todos los encargados o responsables de la información. Esto, con el objetivo que existiera un control por parte de las autoridades sobre el manejo que los encargados o responsables le estaban dando a las bases de datos que estaban a su cargo.

El decreto 090 del 18 de enero de 2018 modificó el ámbito para aplicar el Registro Nacional de Bases de Datos y estipuló nuevos plazos para que los a quienes les correspondiera, realizaran la inscripción de sus bases de datos.

Los sujetos que quedaron con el deber de registrar sus bases de datos son las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a cien mil (100.000) Unidades de Valor Tributario (UVT) y las entidades de naturaleza pública.

 

Para cualquier duda, contáctenos.

×