Sin categoría

Me he dado cuenta de que cuando llamo a las empresas para obtener información, con frecuencia me dicen que “no puedo darles eso, debido a la protección de datos”. Como formador especialista en cumplimiento para empresas en Protección de Datos, soy plenamente consciente de que no estoy solicitando datos que estén protegidos por las leyes de Protección de Datos.

La Comisión Irlandesa de Protección de Datos (DPC) notó desarrollos similares, advirtiendo que cada vez más personas intentan utilizar las leyes de protección de datos para resolver disputas que no son de protección de datos, afirmando que debe protegerse de convertirse en la “ley de absolutamente todo”.

Señaló que la DPC ha estado recibiendo un número creciente de quejas de personas que no tienen ninguna relación con la protección de datos. Los problemas en el trabajo, con el tratamiento médico y el estacionamiento de los vecinos, fueron sólo algunos ejemplos que dio que soportan sus observaciones. Sugirió que esta tendencia “refleja el deseo de muchas personas de tener acceso a un servicio de resolución de disputas independiente, de fácil acceso y sin costo”, señalando además que ésta NO era la función de la DPC.

Victoria Anzola

Axel Voss, un miembro del Parlamento Europeo que ayudó a crear el GDPR, ha declarado que después de solo tres años de vigencia, la regulación está desactualizada y debe revisarse en profundidad para mantenerse al tanto del mundo pospandémico. Explicó que la legislación debe actualizarse para reflejar el cambio global hacia el trabajo a domicilio que ha resultado de la pandemia de COVID-19, así como para atender la multitud de nuevas tecnologías que se han desarrollado desde que entró en vigor el GDPR. En particular, el uso de la inteligencia artificial ha crecido exponencialmente en los últimos años. Queda por ver si es probable que se produzca una revisión significativa en el corto plazo, ya que otros miembros del Parlamento Europeo, como Sophie Veld, afirman que el RGPD sigue siendo adecuado para su propósito.

TikTok acordó pagar $ 92 millones para resolver una demanda colectiva. La demanda colectiva se relacionó con acusaciones de violaciones importantes de la privacidad, con afirmaciones de que TikTok había recopilado datos personales confidenciales y los utilizó para rastrear a sus usuarios y mostrarles anuncios dirigidos. También se alegó que la aplicación había analizado los rostros de sus usuarios para determinar su origen étnico, género y edad.

Si bien TikTok niega todas las acusaciones, acordó resolver el caso fuera de los tribunales. Un portavoz explicó que “si bien no estamos de acuerdo con las afirmaciones, en lugar de pasar por un largo litigio, nos gustaría centrar nuestros esfuerzos en crear una experiencia segura y alegre para la comunidad de TikTok”.

¿Qué es la privacidad por diseño?

Privacidad desde el diseño significa aplicar las garantías de protección de datos necesarias desde la fase de planificación inicial para cualquier desarrollo tecnológico, como una aplicación o programa, un desarrollo de comercio electrónico, el internet de las cosas (I o T), etc. siempre que los datos personales van a ser procesados por el nuevo desarrollo.

Esta obligación es una precaución que también protegerá a la Gerencia, ya que es más fácil planificar desde el inicio con base en un marco legal adecuado. La alternativa puede ser tener que rediseñar el producto o servicio desde cero por no cumplir, con el consecuente sobrecoste.

Esta privacidad por diseño también puede ayudarnos a la hora de elegir software estándar en el mercado ya que actualmente muchos de ellos no cumplen con los requisitos legales en materia de protección de datos.

La privacidad por diseño es una medida proactiva (previene, no remedia) y busca protección durante todo el ciclo de vida del producto o servicio.

¿Qué es la privacidad por defecto?

La privacidad por defecto consiste en ofrecer las máximas garantías de privacidad en aquellas aplicaciones, programas o aplicaciones o servicios que vayan a tratar datos personales. Es decir, si existen varias configuraciones de privacidad, se deben marcar por defecto aquellas que ofrezcan mayores garantías de privacidad al interesado.

La privacidad predeterminada implica:

• La minimización de datos, es decir, se recabarán los mínimos datos posibles para que el producto o servicio pueda cumplir su finalidad.
• Control de acceso: Solo el personal que realmente necesite acceder a los datos para el desarrollo de su trabajo tendrá acceso a dichos datos.
• Los datos no se cederán a terceros si dicha transferencia no es necesaria, no es obligatoria o no es informada y con el consentimiento explícito por parte del tercero. Para ello, se pueden aplicar técnicas de pseudoanonimización.
• Los plazos de conservación de los datos deben ser informados y serán limitados.
• Transparencia. Los titulares de los datos recibirán información clara, concisa y comprensible sobre el tratamiento de sus datos personales.

Un ejemplo de no privacidad por defecto:

Un ejemplo práctico de cómo no hacerlo se puede encontrar en algunas aplicaciones de juegos donde, por ejemplo, el juego solicita acceso a los contactos del teléfono, imágenes de la cámara, SMS y llamadas telefónicas … todos ellos innecesarios para jugar.

La Reforma de 2015 brinda a las empresas una exención de responsabilidad penal si han implementado de manera efectiva un programa de cumplimiento que cumpla con los requisitos del nuevo Código.

El Código se centra ampliamente en delitos de muy diversa naturaleza, sin centrarse exclusivamente en el soborno y / o el fraude empresarial. El código penal español contempla este modelo como una herramienta preventiva (y un instrumento de defensa afirmativa) en una serie de delitos “típicos” de carácter “societario”, tales como:

Fraude, tráfico de influencias; estafa, blanqueo de capitales, insolvencia punible, daños a la propiedad intelectual e informática, uso indebido de datos personales, corrupción patrimonial, narcotráfico, financiación del terrorismo, falsificación, robo de tarjetas de crédito, tráfico de órganos humanos, esclavitud, delitos contra la normativa fiscal y de la Seguridad Social …

Requisitos de la ley

En el primer caso, el nuevo Código permite eximir de responsabilidad penal a las empresas bajo los siguientes requisitos:

• El consejo de administración, antes de la comisión del delito, adoptó e implementó un Modelo de organización, gestión y control (el “Modelo”) adecuado para prevenir delitos del tipo cometidos.
• El Código acepta que en las pequeñas y medianas empresas (PYMES), la junta directiva puede cumplir el rol de un organismo supervisor con poderes independientes de iniciativa y control.
• Los autores individuales del crimen cometieron el delito mientras eludían intencional y fraudulentamente el Modelo.
• El órgano de control no ha desatendido sus funciones de supervisión y control.

Si el delito es cometido por un subordinado, la empresa deberá acreditar que efectivamente ha implementado un Modelo organizativo y de gestión adecuado para prevenir delitos del mismo tipo que el cometido, previo a la comisión del delito.

Las empresas deben identificar cuidadosamente los riesgos a los que pueden estar expuestas donde los delitos enumerados en el Código podrían cometerse y adoptar un programa de cumplimiento (Modelo) diseñado para prevenir los mismos.

Es evidente que la formación del personal es clave para la eficacia de cualquier Modelo de este tipo que genere la empresa.

(Adaptado de “Corporate Compliance Programs”, Maria Hernandez, Eversheds International Law)

La percepción más común del compliance es el cumplimiento de las regulaciones: las leyes, reglas y otras normas de un gobierno que detallan cómo debe comportarse una organización. Por ejemplo,

• Todas las empresas registradas deben presentar declaraciones de impuestos.
• Ninguna empresa puede sobornar a los funcionarios del gobierno para ganar negocio.
• Las empresas deben proteger los datos personales de los ciudadanos.
• Las empresas no deben involucrarse en el blanqueo de capitales y financiación del terrorismo.

A los gobiernos no les importa cómo una empresa cumple con la ley, siempre y cuando lo haga.

Entonces, las empresas diseñan sus programas de cumplimiento para desarrollar la parte del “cómo”. Los empleados deben cumplir con unas políticas y procedimientos internos.

Por ejemplo, sobornar a funcionarios del gobierno es ilegal. Por lo tanto, las empresas desarrollan políticas internas para los empleados que prohíben pagar viajes de lujo o dar regalos a funcionarios gubernamentales. Las empresas desarrollan procedimientos internos para enviar informes de gastos, a fin de identificar cualquier pago sospechoso que los empleados puedan intentar realizar.

En otras palabras, las leyes definen lo que se debe cumplir; las empresas establecen procedimientos internos para lograr ese cumplimiento.

Cómo el cumplimiento corporativo impacta a las empresas

• El Compliance puede mantener una empresa en el lado correcto de la ley. Incluso cuando una empresa viola las reglas (lo que seguramente sucederá eventualmente), la existencia de un programa de compliance demostrará a los reguladores y fiscales, que la empresa está tratando de hacer lo correcto. Puede dar lugar a sanciones más pequeñas (o ninguna y solo una amonestación).
• Un programa de compliance puede preservar la reputación de una empresa. Las empresas pueden sufrir graves consecuencias por mala conducta: malos titulares, boicots de consumidores, socios comerciales que cancelan contratos y más.
• Sobre todo, los programas de compliance efectivos hacen de su empresa un socio más atractivo para otras empresas y clientes, creando así una ventaja competitiva. Cuanto más eficaz y transparente sea nuestra ética y compliance, menor serán los riesgos empresariales y los riesgos de otros al contratarnos.

Por más desafiante que pueda ser el compliance, cuando se hace bien, se convierte en una enorme ventaja estratégica.

El Gobierno Nacional expidió el Decreto 090 del 18 de enero de 2018, en el cual reduce el universo de personas jurídicas obligadas a inscribirse en el Registro Nacional de Bases de Datos de la Superintendente de Industria y Comercio (SIC).

Continúan con el deber de registrar sus bases de datos las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100 mil Unidades de Valor Tributario (UVT). También deben hacerlo todas las entidades públicas.

NO están obligadas a hacer este registro las sociedades y entidades sin ánimo de lucro catalogadas como micro y pequeñas empresas, ni las personas naturales.

La ley 905 de 2004 modificada por la ley 1111 de 2006, establece los parámetros según el valor de los activos de la micro, pequeña y mediana empresa. (Mediana/activos totales entre 100.000 a 610.000 Unidades de Valor Tributario UVT. Pequeña/activos entre 501 a menos de 5000 salarios mínimos mensuales legales vigente. Micro/activos inferiores a 500 salarios mínimos mensuales legales vigentes.)

Si su empresa está dentro del grupo que la SIC a excluido del registro nacional de bases de datos, ustedes NO están OBLIGADOS a registrarlas. 

Es importante aclararles a nuestros clientes que cumplir SI deben cumplir con la normativa de protección de datos. Que podrán ser multados en el caso de dar mal tratamiento a sus bases de datos. El NO tener que registrar sus bases de datos no quiere decir que no estén OBLIGADOS a cumplir con la ley 1581, implementar políticas adecuadas, dar formación a sus empleados, contratar correctamente a encargados del tratamiento, analizar las bases de datos y sus finalidades.

El paso a paso del registro nacional de bases de datos es una forma muy eficiente de entender los fines de la normativa y el control que ejerce la SIC.