jueves, 11 de febrero de 2016

El 2016, el año de la privacidad de la información

Cargando...
Privacidad de la información. Imagen tomada de: pixabay.com

Aunque hablar de privacidad de la información, no es algo nuevo en el contexto actual, es un aspecto muy importante que ha venido tomando fuerza en los últimos años a nivel mundial y al parecer el 2016 será un año en el cual se va a consolidar a raíz de las diversas discusiones que se vienen adelantando en todo el mundo y sobre el cual ya empiezan a verse los primeros resultados. 

Acuerdo EU-US Privacy Shield

Para iniciar tenemos el recién aprobado acuerdo llamado EU-US Privacy Shield el cual sustituye al pacto Safe Harbour, declarado ilegal por el Tribunal Europeo en octubre de 2015. Este nuevo acuerdo según la Comisión Europea, asegurará que las empresas estadounidenses, en mayor grado, se obliguen a proteger los datos personales de los usuarios europeos. También implica que el Departamento de Comercio de Estados Unidos, y la Comisión Federal de Comercio (FTC) en grado mayor que antes supervisarán y controlarán el cumplimiento del acuerdo.

Pero para poder hacer realidad y dar cumplimiento a este acuerdo, tanto las empresas como las organizaciones gubernamentales tienen un gran camino por recorrer tanto a nivel jurídico, como tecnológico y operativo. 

El cifrado de los datos

Actualmente existe otra discusión que aún continua abierta y es la relacionada con los temas de seguridad nacional en donde diversos países discuten actualmente la posibilidad de prohibir el cifrado de datos carente de puertas traseras instaladas de fábrica y en la cual Estados Unidos, es uno de los principales defensores de las puertas traseras gubernamentales, instaladas en hardware y software.

Esta discusión se centra en brindar herramientas a las diferentes entidades de gobierno a cargo de la seguridad nacional, para poder tener acceso a la información que requieran para el cumplimiento de sus objetivos, pero dichos mecanismos generan gran preocupación respecto a que tan expuesta puede verse la privacidad de los datos, por lo cual este tema seguirá dando de que hablar, hasta que se logre encontrar un equilibrio entre seguridad nacional y privacidad. 

El caso de Colombia

Aunque la privacidad no es un tema nuevo en nuestro país, a pesar de ser algo obligatorio hace varios años, aún existen personas y organizaciones que desconocen su importancia. 

Antes de hablar de lo que viene para el 2016 en materia de privacidad, considero importante hacer un pequeño recuento de lo que ha sucedido en los últimos años a raíz de la aprobación de la Ley 1581 del 17 de octubre de 2012 "Por el cual se dictan disposiciones generales para la protección de datos personales" y que posteriormente fue reglamentada con el Decreto 1377 del 27 de junio de 2013.

Con la expedición de este decreto, la preocupación inicial de las organizaciones fue la de cumplir con lo expuesto en el artículo 9 de la ley 1581 "Autorización del titular", razón por la cual en primer medida muchas empresas hicieron uso de los medios masivos de comunicación como los periódicos, página web e inclusive el correo electrónico, para informar y dar la posibilidad a las personas de no autorizar el uso de sus datos personales por dichas organizaciones, lo cual fue complementado con la elaboración de las primeras políticas de privacidad.

Hasta este punto, el cumplimiento de la Ley 1581 de 2012 y su decreto reglamentario 1377 de 2013, significan un gran trabajo el cual debe ser desarrollado desde el interior de las organizaciones y que va mucho más allá de la generación de avisos de privacidad y la recolección de la autorización expresa e inequívoca por parte del titular. 

Por esta razón se vuelve fundamental para las organizaciones el contar con un rol de oficial de privacidad de la información, que se encargue de liderar y coordinar las acciones necesarias para dar cumplimiento a los marcos normativos y lograr un buen manejo y tratamiento de los datos personales por parte de la organización. 

Panorama actual

El capítulo 26 del Decreto único 1074 de 2015 reglamentó lo establecido en el artículo 25 de la Ley 1581 de 2012 con el cual se creó el Registro Nacional de Bases de Datos RNBD. Este tema ha generado gran preocupación en las organizaciones, ya que "El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento" como lo establece el artículo 2.2.2.26.1.3.  del Decreto 1074. 

Y esta no es una labor fácil para todos, ya que por una parte se debe tener total claridad sobre que información y donde se está almacenando, lo cual puede ser complicado para aquellas organizaciones que cuentan con bases de datos estructuradas muy antiguas, bases de datos que no se encuentran estructuradas adecuadamente o bases de datos no estructuradas, lo cual puede generar complicaciones para la atención de requerimientos que exijan consulta, modificación o eliminación de información. 

Por otra parte se debe definir por cada base de datos quien es el responsable y/o el encargado del tratamiento de la información, lo cual es una tarea que involucra a todas las áreas de la organización donde se manejan datos personales. 

Como podemos ver, existe mucho trabajo por hacer, en especial este 2016 en el cual de acuerdo a lo establecido por medio de la Circular 002 del 03 de noviembre de 2015, todos los responsables del tratamiento de datos personales deben realizar la inscripción de sus bases de datos acorde con los plazos establecidos y que se vencen de acuerdo a los últimos números del NIT. 

Así que con este panorama global considero que el año 2016 será el año de la privacidad de la información, para lo cual debemos seguir trabajando de forma continua ya que es un aspecto importante al igual que la seguridad de la información. 

Escrito por:

Efraín Oswaldo Guerrero Camacho.
Profesional en Privacidad y Seguridad de la Información.

2 comentarios:

  1. En esta ocasión quiero compartirles un artículo que acabo de escribir sobre la privacidad de la información, que aunque no es un tema nuevo considero es un aspecto que tomará gran importancia durante el 2016.

    ResponderBorrar
  2. Un saludo Efraín

    Buen artículo, la verdad este tema es el actual dolor de cabeza para las organizaciones porque no sólo deben tener claridad de cuales son sus bases de datos automatizadas, sino también el archivo físico que contenga información personal.

    En cuanto a los plazos establecidos por la SIC, la circular 002 de 3 noviembre de 2015 aplica inicialmente a las organizaciones de naturaleza privada, las cuales tienen un año a partir de la expedición de la circular para realizar el registro de sus bases de datos en el RNBD. Las fechas de plazo teniendo en cuenta los dos últimos dígitos del NIT es una sugerencia que hace la SIC pero no de obligatorio cumplimiento. Para este año 2016 han anunciado que las entidades públicas deben hacer el respectivo registro.

    Saludos y gracias por compartir estos temas

    ResponderBorrar