Disrupción tecnológica, transformación y sociedad . Группа авторов
27 del Decreto 1377 de 2013 y con otras recomendaciones de entidades de vigilancia, exige adoptar varias medidas36 que se pueden clasificar en tres grandes grupos: i) medidas administrativas tendientes a establecer una estructura interna administrativa y de políticas y mecanismos para el funcionamiento del programa de gestión de protección de datos; ii) medidas técnicas y operacionales que conllevan a la protección física y jurídica de los datos personales, y iii) medidas tendientes a verificar el cumplimiento del plan de gestión de datos y su actualización conforme a las necesidades que surjan al interior de la organización y a los riesgos identificados con anterioridad37.
De esa forma, el primer grupo de medidas administrativas y de adopción de políticas para el adecuado funcionamiento del programa incluye:
– Establecer una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable, para la adopción e implementación de políticas de tratamiento de datos.
– Adoptar mecanismos internos para poner en práctica las políticas, incluyendo herramientas de implementación, entrenamiento y programas de educación. De esta forma, debe comprometer recursos económicos y humanos para el desarrollo de estos mecanismos internos.
– Designar personal, o acudir a un área encargada –oficial de protección de datos– con el fin de vigilar el cumplimiento de las políticas y programas, y de informar a la dirección de la organización empresarial su estatus. Adicionalmente esa área se encargará de cumplir obligaciones concretas, tales como mantener un inventario de las bases de datos –con especial cuidado de las referentes a menores de edad–, inscribir en el registro nacional de bases de datos la información, revisar los contratos de transmisión con encargados del tratamiento, integrar las políticas de protección de datos personales con las políticas de la organización empresarial.
– Contar con la autorización del titular para la recolección de los datos personales, así como preservar copia de la misma.
– Adoptar una política de tratamiento de datos en la que se expongan aspectos tales como, la finalidad, la forma en que se realizará, los mecanismos de acceso y corrección del titular de la información, los mecanismos de quejas, denuncias y reclamos, entre otros.
– Exigir a los terceros encargados el cumplimiento de su política de tratamiento de datos particularmente en el ejercicio de las actividades de marketing, mercadotecnia y publicidad38.
– Desarrollar una evaluación de impacto en la privacidad del ejercicio de actividades de marketing, mercadotecnia y publicidad, con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos39.
– Adoptar procesos para la atención y respuesta de las consultas, peticiones y reclamos de los titulares de los datos personales con respecto a cualquier aspecto del tratamiento.
Este grupo de medidas se caracteriza por ser de carácter preventivo y constituye los requisitos mínimos administrativos y estructurales con los que una organización empresarial debe contar para lograr el adecuado tratamiento de los datos personales. Como se observa, se enfocan en la mitigación de los riesgos derivados de un indebido tratamiento, en contar con políticas de tratamiento de datos personales, en un proceso claro de autorización de los titulares, en un sistema de reclamos adecuado, así como en la designación de un área que monitoree su tratamiento al interior de la organización. Lo anterior permite que, ante una eventual investigación administrativa, prima facie, la organización empresarial pueda demostrar una debida diligencia desde el punto de vista administrativo. Sin embargo, como se expuso al inicio de este apartado, es necesario no solo demostrar la adopción de estos requisitos, sino una aplicación debida de cada uno de los procedimientos implementados por la organización empresarial.
De otra parte, existen medidas operacionales y técnicas llamadas a proteger de manera efectiva los datos personales40, pues de nada sirve para una organización empresarial contar con un equipo que se encargue de monitorear el tratamiento de la información, con políticas de tratamiento adecuadas y con un sistema de reclamos y quejas, si no adopta medidas técnicas que garanticen la protección de los datos personales y que respondan a un sistema de administración de riesgos propio del tratamiento de datos y acorde con la estructura organizacional, los procedimientos internos asociados, la cantidad de bases de datos y los tipos de datos personales tratados41.
Este sistema de gestión de riesgos debe permitir a la organización empresarial identificar, medir, controlar y monitorear todas aquellas circunstancias que puedan constituir amenazas digitales42. En el proceso de identificación la guía de la Superintendencia Industria y Comercio indica que es necesario documentar los procesos que se implementan para el ciclo de vida de los datos personales, la metodología de identificación de los riesgos, así como los riesgos e incidentes ocurridos. Así las cosas, la identificación y clasificación de los riesgos, así como la adopción de las medidas técnicas para mitigarlos constituyen los fundamentos del principio de responsabilidad demostrada43.
De otra parte, la medición se refiere a la probabilidad de ocurrencia de los riesgos y al impacto de su concreción, y el control se relaciona con las acciones positivas que se toman para mitigar y/o controlar los riesgos44, específicamente las medidas operacionales, técnicas y tecnológicas que se adoptan al interior de la organización empresarial, tales como45:
– Limitar el acceso autorizado a la información, a las instalaciones físicas, a los equipos y a la información en general;
– Asegurar que los equipos de la compañía que contienen o almacenan datos cuenten con un debido registro con el fin de garantizar la disponibilidad, integralidad y confidencialidad de la información46;
– Implementar un sistema que permita que el acceso a las bases de datos lógicas, o a la información en formato lógico, lo realicen usuarios identificados y autorizados, y utilizar mecanismos de autenticación47. En estos casos las contraseñas se deben almacenar de manera cifrada y de forma segura;
– Limitar el acceso al usuario que conoce la información al ejercicio de sus actividades;
– Adoptar acciones para la adquisición, operación y mantenimiento de sistemas seguros48;
– Contar con certificaciones de seguridad para productos específicos de distintos fabricantes;
– Cifrar los datos en tránsito cuando se autentique a los usuarios o se transfiera información personal49;
– Poner a disposición de los usuarios un test de solidez de las contraseñas (comprobación de entropía)50;
– Mantener los datos de producción (información real) separados de los datos de prueba (información ficticia utilizada para desarrollar y probar aplicaciones de los sistemas TI)51, y
– Contar con certificados SSL/TLS en los sitios web52.
La etapa final en el sistema de gestión de riesgos consiste en medir, monitorear y verificar la efectividad de los mecanismos adoptados durante la etapa de control de los riesgos de las amenazas digitales. Es una etapa de auditoría interna que, mediante el establecimiento de indicadores de gestión efectiva, le permite a la organización empresarial detectar y corregir las deficiencias en la gestión del riesgo para el tratamiento de los datos personales. Esta etapa de auditoría se concreta en las siguientes obligaciones para el responsable del tratamiento:
– Desarrollar un plan de revisión, evaluación y control del PIGD mediante la presentación de informes al responsable del tratamiento al interior de la organización, así como a los accionistas y miembros de junta directiva, dejándolos documentados. Esta obligación también permite identificar cuáles han sido las últimas amenazas digitales y si se han adoptado mecanismos que respondan a ellas. Lo anterior conlleva también un análisis de las brechas de información, la diferencia de las medidas de seguridad existentes y aquellas faltantes, así como su implementación53.
– Reportar a la autoridad de tratamiento de datos54 los incidentes de seguridad