Mediante la política de tratamiento de datos personales, las empresas deben garantizar que sus clientes conozcan y autoricen el manejo de su información.
Una campaña de fidelización para asociados, empleados y proveedores o un lanzamiento de ofertas de tus productos o servicios son algunos de los casos en los que requieres una base de datos. Sin embargo, para el uso de esta es necesario cumplir con la política de tratamiento de datos personales, un mandato legal que busca proteger la privacidad de los ciudadanos.
“Esta política dice que todas las personas que cuenten con bases de datos que se salgan del ámbito estrictamente privado o familiar tienen que establecer los procedimientos para la recolección, el almacenamiento, la administración y la disposición final de la información de los titulares”, explica Diego Buitrago, docente investigador de la Facultad de Derecho de la Universidad CES.
Cuando una empresa recolecta datos, sin importar si opera como persona natural o jurídica, o si es pública o privada, debe comunicar las finalidades específicas de la información ante sus titulares. “Los datos no se pueden recoger sin que el titular sepa qué van a hacer con ellos, cómo los van a almacenar, cómo los van a tratar, cuáles son los objetivos. Además, deben contar con una autorización previa, expresa e informada”, dice el experto.
Según la Superintendencia de Industria y Comercio, para la aplicación normativa, que modificó un sistema antiguo en el que las personas eran incluidas en este tipo de documentos sin que se les notificara, es indispensable tener en cuenta nueve recomendaciones:
¿Qué puede hacer el titular de la información si se vulneran sus derechos?
Si al momento de ser contactado por una entidad, el ciudadano no está seguro de que esta cuenta con la autorización para usar su información personal, “puede exigir el certificado del permiso y, si no lo tiene, la eliminación de sus datos con su respectiva notificación. Si no se cumple, tiene la potestad de solicitar una investigación en la Superintendencia de Industria y Comercio”
De este procedimiento quizá resulten sanciones como la suspensión temporal o el cierre definitivo de la base de datos y una multa hasta de dos mil salarios mínimos mensuales legales vigentes (lo que equivale a mil seiscientos millones de pesos aproximadamente).
La política de protección de datos no es voluntaria y, para las entidades privadas con un activo superior a tres mil millones de pesos, se impone una obligación: hacer el Registro Nacional de Bases de Datos (RNBD), un inventario de este tipo de documentos que se reporta ante la Superintendencia de Industria y Comercio (sin la información de los titulares) e incluye campos como número de usuarios, finalidades, lugares de almacenamiento y medidas de seguridad
Buitrago asegura que la custodia de los datos es una responsabilidad compartida entre quien los recibe y quien los entrega. Asimismo, recomienda atención especial en la construcción de bases de datos sensibles, es decir, aquellos que al divulgarse pueden generar algún tipo de discriminación (información sobre niños, niñas y adolescentes; estado de salud, orientación sexual, creencia religiosa, participación en partidos políticos y sindicatos, entre otros).