05 May Principio de Responsabilidad demostrada (Accountability)
¿Cómo beneficia a las organizaciones su implementación?
El principio de responsabilidad demostrada (Accountability en inglés) consiste en que, una entidad que recoge y hace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen los principios de protección de datos.
Este principio demanda implementar diversas acciones con el fin de garantizar el adecuado cumplimiento de los deberes que imponen los mandatos constitucionales y legales relacionados con el tratamiento de datos personales. El mismo exige que las acciones implementadas por los Responsables y/o Encargados del tratamiento de datos personales, esté enfocada en medidas apropiadas, efectivas y verificables que permita la observancia y cumplimiento de los deberes que imponen las regulaciones.
¿Quiénes son los Responsables y/o Encargados del Tratamiento de la información?
El responsable del tratamiento, es la persona natural o jurídica, pública o privada que determina los fines y medios relacionados con el tratamiento de datos personales.
El Encargado del tratamiento, suele ser un tercero externo de la empresa que trata los datos personales por cuenta del responsable del tratamiento.
¿Qué obligaciones adquieren los Responsables del Tratamiento de la información?
Los Responsables del Tratamiento de la información, de acuerdo al artículo 2.2.2.25.6.1. del Decreto 1074 de 2015 adquieren la obligación de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
¿Qué deben observar las medidas para la protección de datos personales?
Las medidas a implementar deberán observar los diferentes factores de cada organización, esto es; su tamaño, naturaleza jurídica, naturaleza de los datos personales objeto del tratamiento, el tipo de tratamiento al que se someterá la información y los riesgos potenciales que implique para los titulares la recolección y circulación de los datos, estas medidas serán objeto de revisión y evaluación para medir su nivel de eficacia y protección de los datos personales.
A su vez, el artículo 27 del Decreto 1377 de 2013 dispone que las políticas internas que se implementen deberá garantizar; A- La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable. B- Que las organizaciones adopten mecanismos internos para poner en práctica las políticas, incluyendo, además de herramientas de implementación, entrenamiento y programas de educación; y C- Implementación de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares.
¿Qué reto adquieren las organizaciones?
El reto que adquieren las organizaciones frente al principio de responsabilidad demostrada va mucho más allá de la expedición de documentos y/o políticas, debido a que, como se ha mencionado, el principio busca una implementación verdadera de mecanismos que permitan la protección del derecho de habeas data, por lo que, la efectividad del principio dependerá, en gran medida, del compromiso por parte de los miembros de la organización, en especial de los directivos, considerando que, sus estrategias, dirección y apoyo son fundamentales para determinar las acciones necesarias para cumplir los objetivos propuestos y exigidos para garantizar la protección de los datos personales.
¿Cuál es la entidad encargada de vigilar la Protección De Datos Personales?
La ley 1581 de 2012, en su artículo 19, establece que la Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos personales, ejercerá la vigilancia para garantizar la protección de tratamiento de los datos personales, por medio del respeto hacia los principios, derechos, garantías y procedimientos previstos en la ley.
¿Qué beneficio traerá la implementación de medidas de Protección de Datos Personales?
La Superintendencia de Industria y Comercio, al verificar la implementación real de medidas y políticas específicas para el adecuado manejo de los datos personales que administra el Responsable, será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la Ley. Lo anterior, no implica que la Superintendencia renuncie a su capacidad investigativa, pero si permite determinar la infracción a aplicar, la cual, dependerá de cada situación específica.
Los Beneficios que genera la implementación de la protección de los datos personales va más allá de un requerimiento que realice la Superintendencia para verificar su cumplimiento, debido a que, la implementación de acciones y la protección a los datos personales es un deber de las organizaciones para dar pleno cumplimiento a la normatividad, además, de ser un derecho constitucional del ciudadano de que sus datos personales sean recogidos y tratados de forma apropiada, permite a las organizaciones generar confianza en el mercado al demostrar su compromiso con los Titulares en la protección de sus datos personales.
Escrito por: Daniela Aristizabal Bueno/ abogada asociada