El principio de responsabilidad demostrada: su desarrollo en la Superintendencia de Industria y Comercio.
La Superintendencia de Industria y Comercio es la autoridad de protección de datos en la República de Colombia[1]. Así, por medio de la delegatura de datos personales está encargada de ejercer la vigilancia para garantizar el adecuado tratamiento de los datos personales de todos los colombianos[2]. A su vez, el Decreto 1377 de 27 de junio de 2013 – incorporado en el Decreto 1074 de 2015 – establece unas obligaciones para aquellos responsables del tratamiento de datos personales. De esta forma, “Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 (…)[3]“.
Aquel deber del responsable, se enmarca bajo lo que se ha denominado como el principio de “accountabillity” o Responsabilidad Demostrada. En efecto, el principio ha cobrado gran relevancia en el tratamiento de datos personales. Esto, toda vez que su adecuada implementación no sólo beneficia la protección de los derechos de titulares de los datos personales, sino que beneficia muy positivamente a las organizaciones porque les permitirá́ maximizar el uso inteligente de la información, aumentar su nivel de competitividad y consolidar su buena reputación empresarial o institucional[4].
Desde hace unos años, la autoridad de datos ha venido implementando el principio de Responsabilidad Demostrada, como un criterio de disminución de la sanción impuesta a las compañías infractoras de los principios y deberes que impone la Ley 1581 de 2012.
Como ejemplo, se trae un extracto de la Resolución Nª 27708 de 2017, en la que se deja en evidencia la disminución de treinta (30) salarios mínimos legales mensuales vigentes a la sanción, por adelantar un proceso “tendiente a cumplir las obligaciones” legales (p. 16). Ahora bien, curiosamente en la misma resolución sucede lo siguiente:
- La autoridad de datos encuentra pertinente las medidas que se están tomando, es decir, siguen en proceso, por parte del responsable del tratamiento.
- Pero, a punto seguido, es la misma autoridad quien deja en evidencia el camino que le falta al responsable del tratamiento para lograr la implementación de medidas efectivas e idóneas para cumplir con sus obligaciones legales.
Por lo que es pertinente preguntarnos, ¿en realidad existe mérito para que con base en el principio de responsabilidad demostrada se disminuya la sanción impuesta al responsable?
Antes de una respuesta, procedamos analizar la Resolución Nª 44026 de 2018. Nuevamente, deja clara la autoridad de datos el deber que tienen los responsables por generar políticas efectivas e idóneas para el cumplimiento de sus deberes legales. Y, a su vez, como deberán ser tenidas en cuenta como un criterio para evaluar la imposición de sanciones.
Con esto presente, afirma la autoridad que el responsable aportó una documentación que demuestra la adopción de algunos mecanismos tendientes a la protección de los datos personales. Sin embargo, en el párrafo siguiente afirma que el sistema implementado “no fue efectivo para evitar la vulneración del derecho de habeas data” del denunciante.
Curiosamente, la autoridad procede a la aplicación del principio de Responsabilidad Demostrada generando una disminución en la sanción de la investigada.
De estas dos resoluciones, solo queda por afirmar que no existió una adecuada implementación del principio en cuestión. Esto, toda vez que no puede ser sujeto de una reducción de sanción aquel responsable que realizó esfuerzos, pero no logró la implementación de verdaderos mecanismos (efectivos e idóneos) para garantizar la protección del derecho de habeas data.
Afortunadamente, esta situación parece estar cambiando.
En la Resolución Nº 83882 de 2018, la autoridad de datos resuelve un recurso de apelación presentado por la compañía LINIO COLOMBIA S.A.S. La accionante fue sujeta de sanción por un valor de equivalente a cuatrocientos cincuenta (450) salarios mínimos legales mensuales vigentes, por el incumplimiento de los deberes establecidos en el literal a) del artículo 17 de la Ley 1581 de 2012[5].
En la mismas, la autoridad de datos desarrolla de manera detallada aquel entendimiento que debe dársele al principio. Entre otras cosas, le recuerda a los Responsables[6] y Encargados[7] del tratamiento la obligación de implementar medidas apropiadas, efectivas y verificables que permitan evidenciar la observancia de las normas. Generando un escenario de menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales.
Para evitar cualquier error de interpretación la autoridad deja claro que el principio “va mucho más allá de la mera expedición de documentos o redacción de políticas porque exige que se demuestre el cumplimiento real y efectivo en la práctica cuando realizan sus funciones”.
De esta manera, es claro que las organizaciones deben implementar en su estructura empresarial una “cultura de datos” con el objetivo de acatar las normas que inciden en su actividad y demostrar su compromiso con la legalidad.
Claro está, que la debida administración de datos implica el respeto y garantía de los derechos de los titulares de los datos. Por eso, la autoridad de datos pone de presente no sólo el alto nivel de responsabilidad jurídica y económica en cabeza de los administradores, pero, además, el enorme profesionalismo y diligencia que debe rodear su gestión en el tratamiento de datos personales.
En suma, queda claro que los Responsables y Encargados del tratamiento de datos en Colombia tienen la obligación de demostrar la implementación de medidas efectivas e idóneas para garantizar el respeto de los derechos de los titulares de datos. Que, además, estas medidas son sujetas de revisión y evaluación por parte de la autoridad nacional de protección de datos. Y, si bien ha existido una inconsistencia en la implementación del principio como atenuante en la imposición de sanciones, parece existir un cambio en la autoridad frente a dicha situación.
Bibliografía.
[1] Ley 1581 de 2012. Artículo 19.
[2] Ley 1581 de 2012. Artículo 21 literal a.
[3] Decreto 1074 de 2015. Articulo 2.2.2.25.6.1.
[4] Remolina Angarita, Nelson. Álvarez Zuluaga, Luisa Fernanda. (2018). Guía GECTI para la implementación del principio de responsabilidad demostrada –accountability– en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos. Universidad de los Andes (Bogotá, Colombia). Facultad de Derecho. GECTI, 1-58.
[5] Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
[6] Persona natural o jurídica, pública o privada, que por sí misma o en asociación con otros, decida sobre la base de datos y/o el tratamiento de los datos.
[7] Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.