De acuerdo con lo previsto en el artículo 17 de la Ley 1581 del 2012, es deber de los responsables del tratamiento de datos personales establecer medidas con el fin de garantizar la seguridad de las bases de datos, en especial que:

1. No sea adulterada la información contenida en esta base de datos,
   
    
2. Que la información no se pierda y
   
    
3. Que no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta.

No obstante, la Superintendencia de Industria y Comercio aclaró que no hay norma que determine con precisión qué medidas deben ser adoptadas para garantizar el principio de seguridad en el tratamiento de estas bases.

Por ello aclaró que hasta tanto no se instruya sobre este tema les corresponde a los responsables implementar las medidas técnicas, humanas y administrativas que resulten idóneas para la obtención del tal fin y documentarlas a través de manuales, procedimiento o políticas. (Lea: ¿Quiénes están obligados a registrar bases de datos?)

Principio de seguridad

El artículo 4º de la Ley 1581 precisa como uno de los principios del tratamiento de datos personales el de seguridad.

Frente a ello indicó que la información sujeta a tratamiento por el responsable se deberá manejar con “las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” (Lea: ¿Cuáles son las obligaciones de los responsables del tratamiento de datos personales?)

Con base en la Sentencia C-748 del 2011, el concepto indicó que existe un deber tanto de los responsables como los encargados de establecer controles de seguridad, de acuerdo con el tipo de base de datos que se trate, que permita garantizar los estándares de protección consagrados en esta ley estatutaria.

Superindustria y Comercio, Concepto 18086570, Abr. 4/18

Documento disponible para suscriptores de LEGISmóvil. Solicite un demo.