De conformidad con nuestra Constitución Política, Colombia es un Estado Social de Derecho, esto es un estado fundado en el respecto a la dignidad humana, en el trabajo, la solidaridad y la prevalencia del interés general.

En el desarrollo de ese respeto por la dignidad humana, nuestra Carta Magna reconoce, en cabeza de todas las personas naturales que habitan en el territorio nacional, un amplio espectro de derechos, dentro de los cuales encontramos los derechos fundamentales, aquellos esenciales para garantizar la dignidad humana.

Le puede interesar: Compliance: el futuro de las empresas está en la implementación de sistemas efectivos de cumplimiento normativo

Dentro de esos derechos fundamentales encontramos, en el artículo 15 de nuestra constitución, el derecho a la intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar los datos personales que reposen en bases de datos de entidades públicas y privadas, esto es, el derecho fundamental de habeas data, que es como usualmente se le conoce en casi todas las legislaciones del mundo.

Conforme a lo anterior, tenemos que el derecho fundamental de Habeas Data busca garantizar un espectro de la dignidad humana y, en consecuencia, ha sido desarrollado en nuestro país a través de la ley 1266 de 2008 (Habeas data Financiero) y 1581 de 2012 (habeas data general), normatividad recientemente complementada por la ley 2300 de 2023 (Ley dejen de fregar), y reglamentada por el Decreto 1377 de 2013 y Decreto 1074 de 2015.

Así las cosas, desde la constitución misma, se impone en cabeza de empresas privadas y entidades del estado, la obligación legal de garantizar a los ciudadanos y, en general, a todos los habitantes del territorio nacional, su derecho fundamental de habeas data, protección que sólo es posible garantizar mediante la implementación de programas de cumplimiento (Compliance) en Protección de Datos Personales.

En un mundo globalizado, en donde las nuevas tecnologías, la constante evolución de la inteligencia artificial, las redes sociales, el comercio electrónico y el tránsito constante en la nube de datos personales, hacen que estos se conviertan en una mina de oro a la hora de desarrollar la actividad comercial de los empresarios, pero también, de manera concomitante, hacen que su tratamiento se convierta en el talón de Aquiles.

Al más mínimo error en su tratamiento, la Superintendencia de Industria y Comercio, no sólo adelanta el respectivo proceso sancionatorio contra el infractor, sino que impone multas pecuniarias que pueden llegar hasta los 2.000 smlmv, siendo cada vez más altas según si el sancionado es reincidente en la conducta sancionada.

Pero ¿por qué cada vez la SIC es más severa en las sanciones?, pues, sencillamente, porque como entidad del estado, en cumplimiento de los fines estatales, debe garantizar la protección de los derechos fundamentales de los ciudadanos. Una de las formas en que es posible cumplirlos es, precisamente, llamar al orden, mediante sanciones pecuniarias, a las empresas y/o entidades que no garantizan los derechos de los titulares de la información.

La Protección a los datos personales no sólo es objeto de regulación y sanción en nuestro país, por el contrario, a nivel mundial los países han desarrollado legislaciones que propenden por la protección de los datos personales. 

Le puede interesar también: Compliance laboral: buenas prácticas que fortalecen a la empresa y facilitan su crecimiento

En algunos países es más rígida, en otros es más laxa, pero en términos generales encontramos en todos una protección mínima, no sólo al interior de cada territorio nacional, sino que se extiende fuera de sus territorios cuando se genera la transmisión internacional de datos, precisamente para garantizar que los datos personales de sus conciudadanos gocen de protección a nivel nacional e internacional.

Así las cosas, al menos en nuestro país, deben todas las entidades estatales y empresas privadas cumplir a cabalidad con la ley 1581 de 2012.

Aquellas entidades y/o empresas del sector financiero o que comercialicen productos o servicios financiados, deben  cumplir, adicionalmente, con la Ley 1266 de 2008, cumplimiento que sólo es posible garantizar implementando un programa de cumplimiento normativo (Compliance) en Protección de Datos Personales.

Este programa permite no sólo identificar los riesgos y las acciones para prevenir la materialización de los mismos o minimizar el impacto ante su materialización —por ejemplo, ante la configuración de un incidente de seguridad—, sino que también permite adoptar procesos y procedimientos que garanticen el cumplimiento de la norma y el respecto de tan importante derecho fundamental en cabeza de los ciudadanos.

Estos programas de cumplimiento normativo (Compliance) deben desarrollarse a la medida de las necesidades de cada empresa y/o entidad, por lo que habrá unos más robustos que otros, según el tamaño de la empresa y/o entidad, según la actividad realizada por ésta, según el tipo de datos personales objeto de tratamiento.

En tanto las necesidades y requerimientos de una empresa del sector farmacéutico difieren a las de  una IPS o una entidad de salud, o una entidad financiera, o de una empresa que realiza transacciones a través de plataformas tecnológicas, a aquella que sólo ofrecen sus productos y servicios a través de un punto físico de venta.

Vale la pena resaltar que, si bien, cada programa de cumplimiento debe atender a unas necesidades y requerimientos propios del tipo de actividad y de datos personales objeto de tratamiento, todos los programas de cumplimiento en Protección de datos Personales cuentan con unos requisitos mínimos para cumplir con la norma, los cuales no conjuran todos los riesgos inherentes a su tratamiento.

Tales puntos básicos son, entre otros, contar con una política para el tratamiento de datos personales, con un manual de procedimiento para el tratamiento de datos personales, con una autorización para el tratamiento de datos personales, con un aviso de privacidad, con la implementación de un protocolo en seguridad de la información.

La norma consagra unos requisitos mínimos, pero cada entidad y/o empresa debe, tras el agotamiento de una fase de diagnóstico, determinar cuáles son sus necesidades específicas y, conforme a ellas, implementar los procesos y procedimientos requeridos.

Reitero, no sólo para cumplir con la normatividad en materia de Protección de Datos Personales, sino para garantizar los derechos de los titulares de la información, lo cual, a la larga, no sólo previene la imposiciones de sanciones, sino que constituye una ventaja competitiva en el mercado —sobre todo en estos tiempos donde la globalización ha roto barreras comerciales y límites geográficos— generando que día a día los diferentes países modulen su legislación, haciéndola más rigurosa para sus connacionales en el tratamiento interno de los datos personales y en la interacción con entidades y empresas internacionales.

Compliance: las desconocidas prácticas que todas las empresas y negocios necesitan, aunque aún no las conozcan