En muchas ocasiones las organizaciones no le dan la suficiente importancia a este aspecto de la protección de datos personales pues lo consideran como algo simple que no amerita la demasiada atención. No obstante, al observar los resultados de las auditorías que practica la Superintendencia de Industria y Comercio (SIC) se observa que en innumerables ocasiones esta desatención, origina problemas dentro de la gestión de tratamiento de datos y genera las inevitables sanciones económicas.

Pero ¿en qué se falla?

Para resolver esa pregunta primero se debe entender que una autorización de tratamiento va más allá de la simple respuesta sí o no, la cual se da ante el requerimiento que nos hace un tercero para que autoricemos el uso de nuestra información personal y, más bien, es el acto de consentimiento que resulta de las siguientes tres etapas:

1. El titular de los datos es informado acerca de lo siguiente: finalidad del tratamiento, quién se hará responsable de la información, qué derechos le asistirán en el futuro al titular, y cómo podrá ejercerlos.

2. Se crea una evidencia escrita, verbal o mediante acción inequívoca, que sirve para probar que efectivamente el titular autorizó el tratamiento de sus datos.

3. Ocurre cuando se almacena la evidencia mencionada de una forma segura y organizada, facilitando con ello que se pueda realizar una posterior consulta.

El hecho de comprender la importancia de los anteriores tres requerimientos dentro del proceso de gestión supondrá planear en forma eficiente la presentación de la solicitud y la forma de almacenar y custodiar cada autorización.

Enfocándonos propiamente en las fallas, es muy habitual que se cometan los siguientes errores:

Crear avisos de privacidad sin cumplir con el contenido mínimo necesario: En este aspecto se debe entender que el aviso no solo debe informar la finalidad del tratamiento de datos sino exponer los términos y condiciones de él, esto justo antes que el titular tome una decisión.  Un ejemplo habitual de este error ocurre en los sitios Web que tienen formularios de inscripción de personas. Por regla, muy cerca del botón que inicia el proceso de envío de información, debe existir un link con un aviso que diga “Políticas de Privacidad”, dicho link le permitirá al usuario leer los términos con los cuales entregará sus datos.

La finalidad explicada no corresponde con los datos solicitados: Es indispensable guardar proporcionalidad entre los datos requeridos y el propósito de su uso, pues no es válido solicitar información que no guarda relación con la actividad planeada.

No se explica la finalidad: En innumerables situaciones las organizaciones piensan que sus procesos internos no obedecen a alguna regla en particular por lo que simplemente los realizan.

No se guarda adecuadamente la autorización: Se debe conservar una prueba, que pueda ser consultada en cualquier momento, la cual demuestre que el titular autorizó el tratamiento de sus datos, y deben existir medios para recuperarla en caso de destrucción o pérdida.

Se debe recordar que la autorización debe ser conservada mientras se tengan almacenados los datos personales del titular, con lo cual ésta solo podrá ser destruida una vez que la información personal de la persona en cuestión haya sido eliminada, sea porque ella misma lo solicitó o porque la Ley así lo determina.

Para más información comunícate a la Unidad de Cumplimiento ext. 4644 o al correo protecciondedatos@colanta.com.co

Colaboración:

Diego Ospina

Unidad de Cumplimiento