La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad

La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad

Así lo afirmó categóricamente la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio -SIC-, en el marco de un recurso de apelación promovido en un proceso adelantado contra la Cámara de Comercio de Bogotá.

Consideraciones de la SIC

“Sin seguridad no existe debido tratamiento de datos personales”. Bajo esta premisa la Delegatura para la Protección de Datos Personales inició su análisis, recordando además que la seguridad es uno de los principios que debe observarse en el tratamiento de datos personales.

[L]a redacción del principio de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información sobre las personas.

La Cámara de Comercio de Bogotá argumentó en este caso que contaba “con las medidas de seguridad adecuadas para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. También contaba con un Manual de Lineamientos y Prácticas Gestión de seguridad de la Información, y había “realizado capacitaciones a estos colaboradores desde antes de ocurrido el incidente [investigado por la SIC]”.

Frente a ello la Delegatura consideró que:

a)  La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad. Es necesario pasar de la seguridad en el papel (documentos, políticas, etc) a la seguridad en la práctica;

b)  La CCB efectivamente cuenta con manuales y políticas deseguridad, razón por lacual no se le sancionó por el incumplimiento del deber de “adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley (…)” a que se refiere el literal k) del artículo 17 de la Ley Estatutaria 1581 de 2012.

c)  Proteger la información es una condición crucial para garantizar el debido tratamiento de datos personales. El acceso, la consulta y el uso no autorizado o fraudulento así́ como la manipulación y pérdida de la información son los principales riesgos naturales y humanos que se quieren mitigar a través de medidas de seguridad de naturaleza humana, física, administrativa o técnica.

d)  La CCB violó los deberes establecidos en el literal d) del artículo 17 de la Ley 1581 de 2012 en concordancia con lo indicado en el literal g) del artículo 4 de la misma Ley y el artículo 2.2.2.25.6.1 del Decreto Único Reglamentario 1074 de 2015, pues por medio de las acciones de uno de sus colaboradores, fueron expuestos o dados a conocer los datos personales de 413 Titulares a terceros no autorizados. Esto quedó demostrado y la Cámara no logró desvirtuar este cargo a lo largo de la presente actuación administrativa.

Consulte aquí el documento: SIC, resolución seguridad – HM