En Colombia existen diferentes regulaciones que se encargan de proteger los datos personales de los ciudadanos y que establecen la manera en la que estos deben ser procesados o almacenados, y dado el caso las condiciones bajo las cuales pueden ser transmitidos fuera del país. En este documento mencionamos los mecanismos que se utilizan para proteger los datos personales y sensibles en Colombia, y como estos procesos ofrecen garantías que permiten la exitosa digitalización de servicios.
El uso de servicios digitales ha permitido que los usuarios intercambien información con un número cada vez mayor de entidades, muchas veces sin un conocimiento claro del uso que se la da a estos datos o las partes que podrán tener acceso a ellos. El intercambio de datos personales es un elemento fundamental de la economía digital, y del cual se benefician los usuarios, pero también directamente empresas de gran reconocimiento como Google o Facebook, entre muchas otras. Adicionalmente, este intercambio de información se da en su mayoría entre entidades localizadas en lugares separados geográficamente, lo cual hace que la relación entre una persona y sus datos se haga menos transparente. Debido a esto, muchos países de la región, como Colombia o México han establecido políticas de protección de datos para permitirle a sus ciudadanos hacer uso de servicios digitales con mayores garantías, las cuales contemplan así mismo condiciones para el flujo transfronterizo de datos.
A continuación discutiremos algunos de los aspectos que deben ser tenidos en cuenta para tratar datos personales en Colombia y su importancia.
Recomendaciones para el tratamiento de datos personales según la Superintendencia de Industria y Comercio
La Superintendencia de Industria y Comercio (SIC) publicó en 2019 una guía sobre el tratamiento de datos personales para fines de comercio electrónico [SIC2019] en la cual se enumeran 15 recomendaciones enmarcadas en la ley Estatutaria 1581 de 2012. Uno de estos aspectos es el flujo transfronterizo de datos, sobre el cual se recomienda observar detenidamente las normas locales sobre tratamiento de datos. En el caso de Iberoamérica, en [VAL2017] se resalta el establecimiento de la Red Iberoamericana de Protección de datos que establece unas directrices que tienen como objetivo “establecer un marco homogéneo” “que facilite el intercambio de información entre ellos”. Para poder realizar un intercambio de datos con otro país es necesario que este garantice un nivel adecuado de protección, y dado el caso, se solicite una declaración de conformidad [SIC2016]. En este proceso, es necesario detallar el objetivo y uso que se le va a dar a los datos transmitidos, la política de tratamiento de datos tanto del remitente como del destinatario, precisar si en entre los datos existen datos sensibles o de menores de edad e informar si el país destinatario no tiene una ley de protección de datos, entre otros.
Otra recomendación importante es la implementación de estrategias de responsabilidad demostrada. Entre ellas se encuentra la conservación de pruebas de haber informado al titular de los datos de manera clara acerca de la autorización que otorga, “documentar los procedimientos para tratamiento, conservación y supresión de datos personales” o adoptar medidas para “asegurar que los datos personales” “sean precisos y suficientes”. En [SIC2016b] se dan recomendaciones acerca de lo que debería tener un programa integral de gestión de datos personales, el cual incluye aspectos asociados a la existencia de un oficial de protección de datos, políticas de tratamiento, y sistemas de gestión de riesgo, entre otros.
Otro de los aspectos mencionados por la SIC en su guía [SIC2019] hace referencia a los esfuerzos que se deben realizar para evitar la suplantación de identidad. Los procesos de validación de identidad aseguran que la identidad presentada corresponde con a la de una persona real, de tal manera que la información personal que se asocia a una transacción sea verídica y así se evita perjudicar al dueño de los datos por ejemplo registrando y divulgando información que induzca a error. Los mecanismos que ofrece reconoSER ID para verificar la identidad contra la Registraduría Nacional del Estado Civil usando documentos de identidad, datos biográficos y biométricos asegura que en cualquier tipo de transacción electrónica se proteja la identidad de las personas, asegurando que la información asociada a una identidad corresponde a una persona física. Relacionado con este aspecto se encuentra otra recomendación de la SIC, en la que se sugiere “garantizar la seguridad de la información de los consumidores”. Citando el artículo 50 de la ley 1480 de 2011, la guía dice que se deben “adoptar mecanismos de seguridad apropiados y confiables que garanticen la protección de la información personal del consumidor y de la transacción misma”. Por ejemplo, las entidades sometidas a inspección y vigilancia por la Superintendencia Financiera de Colombia [SFC2019] deben asegurar que se cumplan los servicios de seguridad de información como confidencialidad, integridad y disponibilidad, en procesos como las comunicaciones entre diferentes sucursales e incluso en la manera en que gestionan sus bases de datos.
Otra recomendación que aparece en esta guía es la de utilizar herramientas de anonimización, de tal manera que en aquellos casos en los que no es necesario que la información almacenada se deba relacionar con una persona, se elimine dicha relación. Existen otros mecanismos llamados seudonimización, mediante los cuales la información que se guarda por sí sola no se puede relacionar con una persona, pero si se mezcla con otros datos entonces si permite esta relación. Estas técnicas son útiles para aumentar la seguridad de los usuarios en aquellos casos en que se requiere guardar datos personales, como en el caso de perfiles de riesgo crediticio o en los datos de localización de las Telcos. Esto es especialmente relevante si consideramos el altísimo numero de filtraciones de bases de datos que se dan anualmente alrededor del mundo, donde un importante porcentaje de ellas tienen información personal presentada de forma abierta, por lo cual muchos datos personales fluyen libremente alrededor del mundo. Una técnica utilizada para guardar información sensible, como los datos biométricos, consiste en el cifrado de los datos. De esta manera se protege el acceso indiscriminado a esta información, y adicionalmente se genera un segundo factor de seguridad en caso de darse alguna filtración de bases de datos.
Por lo tanto, esta serie de recomendaciones en su conjunto ayudan a proteger la información de los usuarios, al tiempo que permiten interactuar en medios electrónicos para potenciar la digitalización de la economía.
Conclusiones
El intercambio y almacenamiento de información personal son necesarios para identificar a las personas en medios electrónicos y por lo tanto son fundamentales para el crecimiento de la economía digital. Sin embargo, estos procesos deben cumplir ciertas condiciones para evitar perjudicar a los usuarios, por lo cual un buen número de países de la región cuentan con leyes de protección de datos. Sin embargo, la interacción digital sobrepasa las limitaciones geográficas, permitiendo que los datos fluyan de manera libre entre diferentes países, potenciando la interacción económica. Si no se dan las garantías de protección de datos, se pueden presentar escenarios como el protagonizado por la Unión Europea y Estados Unidos, donde los primeros afirman que los segundos no ofrecen dichas garantías, lo cual actualmente pone en riesgo las ofertas comerciales que se basen en el intercambio de datos de los ciudadanos de la Unión Europea. En este documento mencionamos algunas recomendaciones de la SIC para la adecuada protección de datos en diferentes escenarios.
Diego Pacheco-Páramo
Bibliografía
[SIC2019] Guía sobre el tratamiento de datos personales para fines de comercio electrónico. Superintendencia de Industria y Comercia 2019.
[VAL2020] Estudio sobre la aplicación en Colombia de las normas sobre transferencia internacional de datos personales. Valbuena abogados. 2017
[SIC2016] Guía para solicitar la declaración de conformidad sobre las transferencias internacionales de datos personales. Superintendencia de Industria y Comercio. 2016
[SIC2016b] Guía para la implementación del principio de responsabilidad demostrada. Superintendencia de Industria y comercio. 2016
[SFC2019] Modificación circular externa 029 Superintendencia financiera de Colombia. https://www.superfinanciera.gov.co/inicio/normativa/normativa-general/circulares-externas-cartas-circulares-y-resoluciones-desde-el-ano-/circulares-externas/circulares-externas–10099659