¿Hacia dónde va el control en materia de protección de datos personales?
08 de Julio de 2021
Daniel Fernando Quintero
Gerente de protección de datos de Quintero & Quintero Abogados
La realidad digital se manifiesta no solo en los nuevos hábitos sociales de la gente, también en el control que sobre ella ejercen los Estados según los marcos regulatorios. Hace poco constatábamos justamente dos de las más ejemplarizantes sanciones que se hayan impuesto en la materia a ambos lados del Atlántico.
De lado europeo, el Consejo de Estado francés confirmó la decisión proferida por su autoridad de control “CNIL” (autoridad de control en protección de datos equivalente a la Superintendencia de Industria y Comercio, SIC, en Colombia) imponiendo la sanción más alta de la historia en materia de datos personales a las sociedades GOOGLE LLC y GOOGLE IRELAND LIMITED, por valor de 100 millones de euros, al encontrarse graves infracciones a la legislación sobre cookies y testigos de navegación (directiva europea eprivacy). La sanción resalta que el comportamiento reprochable fue el descargar rastreadores de navegación en los computadores y dispositivos de los usuarios sin contar con el consentimiento de los mismos.
Del lado colombiano, la SIC hace un control no menor. Esto se constata en sus más recientes informes donde evidencia un incremento en el número de actuaciones cada año. Este aumento no solo se centra en el número de quejas recibidas sino, igualmente, en la cantidad de investigados, el número de sanciones impuestas y los montos de estas a expensas de los sujetos a la norma.
En 2014, año en el cual iniciaron las investigaciones de este tipo, hubo 10 decisiones administrativas sobre la materia; en 2018 la cifra fue de 38; y para el 2019 se profirieron 60. Esto significa que cada año casi se doblan las decisiones administrativas de la SIC sobre el control de conformidad en la protección de datos personales.
En lo relacionado con el monto de las sanciones también se registra una tendencia al alza. Observemos que para 2014, primer año de control, la sanción más alta fue de 123 millones de pesos; mientras que para el año 2020 la sanción más elevada fue de 894 millones de pesos, la cual, por cierto, fue impuesta a una EPS.
La pregunta que surge ante esta situación es: ¿a qué obedece el aumento del monto de las sanciones? Sobre ello identificamos tres posibles causas:
La primera es la aceleración en los procesos de digitalización de casi todas las dinámicas sociales y económicas. Es decir, la utilización de algún tipo de interfaz digital que facilite las muy variadas interacciones de los actores sociales, lo cual, a su vez, es una fuente inagotable de datos personales.
La segunda causa es la creciente preocupación e interés por parte de los titulares de los derechos sobre sus datos personales y el uso que se les da. Esto, en gran medida, como efecto de hallazgos a nivel mundial sobre seguridad y privacidad, como en los casos Cambridge Analytica y Edward Snowden, un aspecto que se corrobora también en el informe publicado por la SIC a finales del año 2020, en el cual consta un crecimiento del 27 % en el número de quejas respecto al año anterior.
Por último, y muy afín con el creciente número de quejas, otra de las causas es la mayor capacidad de la autoridad para ejercer su control a nivel de investigación y correlativa sanción.
De otra parte, y basándonos en el reporte del estudio de medidas de seguridad en el tratamiento de datos personales publicado por la SIC en 2019, se constata una realidad preocupante: el registro de las bases de datos en el sistema de registro nacional (RNBD) no supone ni representa la puesta en conformidad de los responsables de las exigencias legales específicamente en lo relativo a las medidas de seguridad.
Así, por ejemplo, de las 33.596 empresas y entidades públicas encuestadas, el 49.9 % no cuenta con herramientas en gestión de riesgos, el 50.7 % carece de medidas efectivas de seguridad, el 52.6 % no tiene políticas ni procedimientos de gestión de incidentes de seguridad, el 61 % no reporta controles de seguridad en la tercerización de servicios para el tratamiento de datos, el 63.6 % no comunica auditorías de seguridad de la información, al 66.1 % le faltan políticas de seguridad para el intercambio físico o electrónico de datos, el 69,3 % no dispone de un mecanismo de consulta de las bases de datos y el 72.7 % no goza de una política de protección para acceso remoto a la información personal. Este panorama permite concluir que nos encontramos frente a la construcción de una cultura de respeto de nuevos paradigmas de privacidad, camino en el cual queda mucho por recorrer.
Enfocándonos en el aspecto de las sanciones y tomando como referente la impuesta por la SIC a EPS SANITAS SAS por valor de $ 894´365.280, y a la cual ya hicimos referencia, podemos señalar importantes conclusiones:
De las 39 páginas que componen la decisión se desprenden algunos elementos básicos que la SIC identifica al momento de determinar las sanciones a imponer. Aludimos, por ejemplo, a la manera en que se establecen los hechos contrarios a la ley, lo cual resulta de un juicioso ejercicio argumentativo que confronta los sucesos con las normas infringidas para asignar a cada comportamiento indebido un monto específico de sanción.
La graduación de la sanción, por su lado, responde a la conjugación de los siguientes componentes: la dimensión del daño ocasionado al titular del derecho, que para el caso citado consiste en la afectación a la prestación del servicio de salud; la duración del comportamiento reprensible, que para el caso en mención corresponde a 10 meses; la gravedad de los comportamientos atribuibles al investigado, que aquí consistieron en la adulteración de la información personal aportada por el titular; y, para terminar, la naturaleza y dimensión del responsable de los datos, esto es, la EPS SANITAS, una de las mayores instituciones en materia de salud en el país, que cuenta con más de dos millones y medio de asegurados y administra datos personales de naturaleza sensible como son los de los pacientes.
En síntesis, la mencionada decisión no solo marca un derrotero en el tema de conformidad en la protección de datos personales en materia de imposición de sanciones, sino que ejemplifica el estado embrionario de respeto de las reglas del habeas data en Colombia.
Este caso, a su vez, deja ver la relevancia de apostarle a una real conformidad reglamentaria por parte de las empresas y entidades públicas, las cuales están siendo llevadas a entender la conformidad como un valor agregado a las operaciones y los datos personales como activos de un alto valor estratégico que deben ser custodiados y explotados bajo un estricto estándar de cumplimiento legal.
Opina, Comenta