Claves para Cumplir la Normativa y Proteger la Información de tus Grupos de Interés

En el panorama empresarial actual, la protección de datos personales se ha convertido en uno de los pilares fundamentales del cumplimiento normativo. Tal como explica el abogado comercial Luis Fernando Romero en esta conferencia, toda organización que maneje información de empleados, proveedores, clientes o colaboradores debe contar con un sistema robusto para tratar, proteger y eventualmente eliminar estos datos cuando ya no se requieran.

El primer paso es comprender que la normativa de protección de datos en Colombia aplica a todas las entidades, sin importar su tamaño o naturaleza (pública o privada). La Superintendencia de Industria y Comercio (SIC) es la autoridad encargada de supervisar, vigilar e imponer sanciones en caso de incumplimiento, pudiendo llegar a multas de hasta 2,000 salarios mínimos, bloqueos de bases de datos o incluso la clausura definitiva de las actividades que involucren tratamiento de datos sensibles.

A fin de evitar estos riesgos, Romero recomienda concebir la protección de datos como parte integral del programa de compliance, al mismo nivel que la prevención de lavado de activos (SAGRILAFT), la ética empresarial o la gobernanza corporativa. En este sentido, es crucial:

Identificar las bases de datos: Pueden ser de empleados, proveedores, clientes, visitantes o inclusive de personas que simplemente acceden a instalaciones físicas. Cada una debe estar registrada y tener un propósito claro (finalidad), garantizando que se conserva únicamente la información estrictamente necesaria.

Diseñar políticas y procedimientos: No basta con descargar un formato genérico de internet. Es esencial elaborar políticas adaptadas a la realidad de la empresa, describiendo cómo se recopila, almacena, comparte y elimina la información. Estas políticas deben comunicar de forma transparente a los titulares (dueños de los datos) qué se hace con su información y bajo qué fundamento legal.

Obtener consentimientos y autorizaciones: Siempre que se trate información personal, se requiere autorización del titular, sea de forma explícita (firmas, formularios) o por conductas inequívocas (por ejemplo, al ingresar a instalaciones donde se informe sobre videovigilancia). Sin embargo, la sola mención o aviso de privacidad no exime de tener la evidencia de que la persona dio su consentimiento.

Nombrar un responsable o un oficial de protección de datos: Aunque la ley no exige formalmente la figura de un “Data Protection Officer” (DPO) como en otras jurisdicciones, sí demanda que exista al menos un área o persona encargada de atender consultas, reclamaciones y requerimientos de la SIC. Esta persona debe tener el respaldo y la autonomía suficientes para proponer mejoras, auditar procesos y responder rápidamente a incidentes o brechas de seguridad.

Registrar las bases de datos (si aplica): Para entidades con activos iguales o superiores a 100,000 UVT, existe la obligación de inscribir y actualizar la información de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD). Entre otras responsabilidades, se deben reportar novedades, modificaciones sustanciales en el uso de la información y reclamos que hayan formulado los titulares.

Garantizar la seguridad de la información: No se trata solo de contar con contraseñas, sino de aplicar controles adecuados según el ciclo de vida de los datos: recolección, almacenamiento, uso, circulación y eliminación. Además, si llega a ocurrir un incidente de seguridad (por ejemplo, hackeo o fuga de información), es obligatorio notificarlo a la SIC en los tiempos estipulados.

Capacitar y concienciar a todo el personal: De nada sirve una política sólida si los colaboradores la desconocen o no entienden su importancia. Las capacitaciones periódicas, así como los recordatorios sobre la reserva y confidencialidad de los datos, fomentan una verdadera cultura de protección de la información.

El principio de “demostrada responsabilidad” (accountability) exige que en caso de visita o requerimiento de la SIC, la empresa sea capaz de evidenciar cada acción y documento que pruebe su compromiso con la ley. A menudo, esta supervisión implica revisiones exhaustivas de políticas, procedimientos, contratos, protocolos de seguridad y evidencias de implementación real.

De esta forma, la gestión de datos personales no se reduce a un simple requisito legal, sino que se convierte en una oportunidad para reforzar la reputación corporativa y la confianza de los grupos de interés. Mantener información sensible bien protegida redunda en relaciones más sólidas con empleados, clientes y socios, y prepara a la organización para responder con solvencia ante cualquier auditoría o reclamación.

¿De qué manera podría tu organización aprovechar la implementación de un programa de protección de datos personales para fortalecer la cultura de cumplimiento y ganar la confianza de sus grupos de interés?