Tal vez una entidad o empresa privada te ofrece sus servicios porque alguna vez compartiste tus datos con ellos y no lo recuerdas. Pero tranquilo, que siempre que lo desees puedes hacer uso de tu derecho a “administrar, corregir o eliminar” tus datos de las bases de datos de las empresas. Así que presta atención que vamos a darte las ideas de cómo hacerlo. El Decreto 1377 de 2013, con el que se reglamentó parcialmente la Ley General de Protección de Datos Personales, nos arroja una idea de cómo hacer este proceso. En el artículo 9 dice: “Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presen­tación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012″.

Te puede interesar: Facebook Messenger tendrá una pestaña exclusiva para llamadas

Dicho esto, entonces nos queda consultar cómo hacer este reclamo, para ello, consultamos el artículo 15 de la Ley 1581 de 20212 que dice así: “podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento”. Este mismo artículo establece una serie de condiciones que debes cumplir para presentar dicho reclamo. Aquí te las contamos:

1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.

¿Quién es el Responsable del Tratamiento de mis datos?

Para tener una certeza a esta pregunta, consultamos con la Superintendencia de Industria y Comercio, donde nos aclararon que: “El Responsable del Tratamiento de los datos personales es una persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los mismos”.

En síntesis, si quieres eliminar tus datos de una base de datos y deshacerte para siempre de esas llamadas indeseadas, debes:

1. Redactar una solicitud dirigida a la empresa pública o privada que hace la comunicación, incluyendo tu nombre e identificación, solicitando que tus datos sean eliminados de su base de datos.
2. Radicarla de manera presencial o por los canales de comunicación establecidos por la entidad (como PQRS o correo electrónico).
3. Esperar unos 15 días hábiles a la respuesta. En caso de no obtener respuesta ni solución, tendrás que notificar a la SIC sobre esta vulneración a tu derecho.

Imagen: Taylor Grote en Unsplash

Mediante un documento publicado en la tarde del 19 de mayo, la misma institución se pronunció sobre una tutela que cuatro ciudadanas presentaron en contra del registro en la aplicación CoronApp como requisito obligatorio para el ingreso a un aeropuerto, haciéndole un llamado al Ministerio de Salud y al Instituto Nacional de Salud (INS).

La Corte advirtió que el marco jurídico del derecho al habeas data procura proteger al máximo el cumplimiento de sus principios, “incluso en situaciones de crisis o emergencias sanitarias” y por lo tanto, obligó a ambas carteras del Gobierno y a la Corporación Agencia Nacional Digital a eliminar los datos de las demandantes en un plazo máximo de 15 días.

La Sala Tercera de Revisión fue la encargada de revisar el caso y determinó que la exigencia de un registro en CoronApp por parte de los operadores de la terminal era innecesaria por considerar superada la crisis sanitaria. La decisión se basó en la Resolución 777 de 2021, que eliminó de la lista de protocolos de bioseguridad para utilizar el transporte aéreo, la descarga y uso de la aplicación CoronApp.

¿Para qué sirvió la recolección de datos que hizo CoronApp?

CoronApp fue la aplicación desarrollada por el Gobierno Nacional con el fin de hacer un rastreo epidemiológico y crear una especie de mapa que diera cuenta del comportamiento y la propagación del covid-19, y así mitigar el impacto de la pandemia.

Esta aplicación, que hasta junio del 2021, había costado $ 2.234 millones de pesos, ha sido blanco de críticas, no solo porque a dos años de su lanzamiento no existen datos oficiales que demuestren su efectividad, sino porque tanto la Agencia Nacional Digital y el Instituto Nacional de Salud se han negado en varias oportunidades a abrir el acceso al código fuente. Una exigencia que han pedido organizaciones jurídicas como Dejusticia, quienes buscan que expertos en programación puedan verificar qué hace realmente la app con los datos de los ciudadanos.

Imágenes: MinSalud

El Banco Falabella deberá pagar una multa de 496 millones de pesos porque se demoró en suprimir los datos de un usuario cuando este solicitó que dejaran de enviarle mensajes con descuentos a su celular. De acuerdo con el comunicado de la SIC, el banco se habría demorado un año y cinco días en hacerlo cuando la norma dice que el plazo es de 15 días.

Rappi deberá pagar la multa y hacer algunos cambios

Por su parte, Rappi deberá responder por una multa de 298 millones de pesos. La SIC asegura que un usuario solicitó que la empresa dejara de usar sus datos y que no le enviará correos electrónicos o mensajes de texto con fines comerciales, pero la plataforma siguió haciéndolo después del requerimiento.

También te puede interesar: Aprende a manejar los datos que los usuarios dejan en tu sitio web. 

“El usuario sí nos dio permiso para usar sus datos; después, nos contactó para que dejáramos de enviarle mensajes, pero nos demoramos en contestarle. No es un caso de mal manejo de datos de nuestros usuarios, estos nos lo tomamos muy enserio”, aseguró Simón Borrero, CEO de Rappi.

Además de la multa, la SIC hizo una serie de requerimientos a Rappi. La empresa tendrá tres meses para hacer los cambios necesarios. Entre ellos:

1. Abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto. Además deberán conservar prueba de la autorización.
2. Establecer la identidad plena de los visitantes de su página web o usuarios de sus plataformas cuyos datos son recolectados, usados o tratados.
3.  Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten. En la plataforma, Rappi tendrá que incluir una herramienta para que los usuarios puedan hacer la solicitud.
4. Implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas y demostrar que realizó una auditoría externa para verificar que todo lo anterior fue acatado.

Imágenes: Archivo ENTER.CO.

La respuesta llegó la semana pasada, cuando la Autoridad francesa para la protección de datosanunció que le puso una multa de 57 millones de dólares a Google. El motivo de la sanción, básicamente, es no informar de manera clara cómo recoleta la información de sus usuarios a través de las distintas plataformas para mostrar publicidad. Entre ellas Google Maps, YouTube y el buscador, según informó The New York Times.

Para conocer más de la GDPR, visita este enlace.

De acuerdo con el medio estadounidense, esta es –hasta la fecha– la multa más alta que se le has impuesto a una empresa desde que empezó a aplicarse la GDPR en el territorio europeo. Otra compañía que actualmente está en investigación es Facebook, con sus otras aplicaciones, como Instagram y WhatsApp.

La respuesta de Google ante la GDPR

Entre sus argumentos, la Autoridad francesa para la protección de datos asegura que “las infracciones de Google privan a los usuarios de garantías esenciales con respecto al procesamiento de datos y operaciones que tienen que ver con su vida privada y puede ser revelada debido a la cantidad de servicios que prestan y las distintas formas en que recopilan información”.  Así mismo, el documento asegura que debido a las combinaciones de servicios y formas de recopilación de datos, la compañía no necesariamente está validando todos los permisos con los usuarios.

Por su parte, Google aseguró que está estudiando el documento para determinar si piden a alguna instancia reconsiderarla o llegar a un acuerdo, informó el portal The Washington Post. “La gente tiene altos estándares respecto a nuestra transparencia y control. Estamos muy comprometidos con las expectativas y los requerimiento de la GDPR”, afirmó un vocero de la compañía a los medios.

Imagen: Montaje ENTER.CO.

Bueno, es momento de que te enteres de qué trata. También de por qué recibes este tipo de mensajes. Por qué los ves aparecer en páginas a las que ingresas e inclusive en las aplicaciones. 

Desde el 25 de mayo, en la Unión Europea empezó a regir la ley de Regulación para la Protección de los datos Generales (General Data Protection Regulation). Por esto, todos los servicios de Internet, páginas y aplicaciones que tienen o que alguna vez tuvieron acceso a tus datos están bombardeado a todos sus usuarios con correos sobre las actualizaciones de privacidad necesarias para cumplir con esta nueva norma.

Dentro de esta nueva ley (GDPR, por sus siglas en inglés) se encuentra resaltado que los usuarios deben dar consentimiento para usar y acceder a los datos de manera explícita.

La GDPR no se creó para que llenaran tu bandeja de entrada

Muchos se han quejado por la cantidad de nuevos mensajes, pero de acuerdo con el portal Wired, los abogados y reguladores de la GDPR han afirmado que la idea no era esta. Sino que los usuarios conocieran los datos que se recogen sobre ellos cuando usan los distintos servicios de Internet. Otro efecto que esperaban era que las empresas dejarán de acumular datos.

Por esto la ley propone que las políticas de privacidad sean claras, así las personas dejan de dar consentimiento sin leer antes que están dando libremente.

Por ejemplo, algunas empresas usan el silencio como consentimiento, otras como Facebook y Google, además de los correos electrónicos, usan mensajes emergentes en sus aplicaciones y páginas en los que le piden a los usuarios que den permiso para la recolección y uso de los datos.

Qué pide exactamente la GDPR

La idea es que como usuarios tengamos mayor control sobre la información que le cedemos a las compañías de Internet. Por esto, además de dar nuestro consentimiento explícito, las empresas están obligadas a decirnos en qué usan la información. Así mismo, tienen que darnos acceso y permiso para borrarla cuando queramos.

Facebook actualmente está solicitando que los usuarios den “su atención y permiso” a tres ejes principales en cuanto al uso de los datos. Por un lado, el acceso a datos personales y sensibles. Por otro lado, al uso de reconocimiento facial y, por último, el uso de datos de terceros para mejorar la experiencias con los avisos publicitarios. Es decir, cookies que se guardan en nuestro computador o historial. Al no dar permiso a alguno de estos, el usuario podría no disfrutar de todas las funcionalidades de la red social.

Además, si las compañías tienen ataques en los que la información de sus usuarios se ve comprometida, tienen 72 horas para informárselo a los afectados y al público en general.

Cómo puede beneficiarnos una ley europea en Colombia

De acuerdo con el portal Time, aunque las diferentes compañías de Internet estén solicitando consentimiento explícito a sus usuarios en todo el mundo, solo aquellos a quien la ley cubre tendrán recursos jurídicos al momento de interponer un recurso o queja. Sin embargo, es un recordatorio para que los usuarios revisen y piensen qué permisos están dando.

Por ahora, en Colombia tenemos la ley del Habeas Data. Con esta normativa, los usuarios deben autorizar el uso de sus datos por parte de las empresas. Así mismo, deben ser informados en qué son usados y estos no pueden ser compartidos con terceros. Además, tenemos derecho a solicitar la corrección de información o a que sea eliminada parcial o completamente.

En Colombia también tenemos un decreto de ley para que las empresas que usan bases de datos la registren. Y estos datos no pueden ser vendidos a terceros sin consentimiento explícito por parte de los usuarios. Probablemente, veremos algunos ajustes a la ley para acoger aquello que es positivo de la GDPR a las leyes colombianas.

Por último, solo queda por decir que: sí, probablemente deberíamos leer estos mails antes de borrarlos. Pero si no logramos tener la voluntad para hacerlo, al menos revisemos de qué páginas y servicios estamos recibiendo estos mensaje. Es muy posible que hayan páginas de Internet y cuentas que no usamos hace años y podemos cerrar esas cuentas o cancelar las suscripciones.

Imagen: Geralt (vía Pixabay).

Los boletines informativos a través de mensajes de correo electrónico, más conocidos como newsletter, son una de las formas más tradicionales que han tenido las empresas para contactarse con su audiencia. Desde que nació Internet, se convirtieron en un medio eficaz para llegar, de manera digital, directamente al correo electrónico de las personas.

Y aunque las dinámicas de la Red han cambiado por cuenta de otros espacios como las redes sociales, que permiten otro tipo de interacción con la gente, esto no ha implicado que el newsletter pase a un segundo plano.

De acuerdo con un estudio de la consultora de márketing digital Campaign Monitor, el mercado a través de correo electrónico sigue siendo el rey del mercadeo, con un 4.400% de retorno de inversión (ROI, por su sigla en inglés). Además, los correos electrónicos transaccionales tienen 8 veces más aperturas y clics que cualquier otro tipo de correo y pueden generar 6 veces más ingresos.

Por esa razón, el mismo estudio señala que, en la actualidad, el 82% de las empresas utiliza herramientas de marketing por correo electrónico. No solo porque permiten informar a antiguos y actuales clientes de las novedades de la empresa, sino también porque ayudan a aumentar el tráfico de un sitio web.

Un informe del portal web Statista señala que en países como Reino Unido un 32% de los internautas está suscrito a newsletters de entre 6 y 10 marcas. Esta es una cifra relevante ya que demuestra que los usuarios sí están dispuestos a recibir información por este medio y que muchas empresas están sacando provecho de ello.

Si aún no has considerado los beneficios de un newsletter para tu negocio, estas son algunas razones por las cuales sigue vigente como una herramienta clave y esencial para el crecimiento de las empresas.

Sin embargo, antes de continuar se debe tener en cuenta que según la Ley de Habeas Data, reglamentada con el Decreto 1377 de 2013, quien envíe correos ‘basura’, conocidos como spam, o venda bancos de datos sin la autorización explícita del usuario, puede ser multado hasta con 2.000 SMLMV o su equivalente a $1.180 millones de pesos.

Eso indica que no se puede enviar ningún contenido comercial sin tener autorización por parte de los usuarios. Ahora este es quien elige qué mensajes le llegan y tiene toda la potestad para controlar quién utiliza su información personal, por lo que debe construir su base de datos con autorización previa e informada del titular para el uso de la información.

A continuación, por estas razones el newsletter es un gran aliado para las empresas:

1. Con un boletín informativo las empresas establecen conexión y crean una relación con los clientes. Así, estos tienen la imagen de la empresa que se quiere proyectar.

2. La empresa, al estar en contacto regularmente con sus clientes, los mantiene actualizados sobre los nuevos servicios y productos que ofrece. Según Entrepreneur, a las personas les gusta estar informadas sobre lo que un negocio hace y su capacidad para hacerlo. Esta es una gran ventaja en contraste con las personas que acuden a través de la publicidad.

3. Muchas empresas escriben en los boletines sobre las tendencias de la industria y otros temas que contribuyen a mostrar su trabajo. Es posible que muchos aún no sepan que un negocio que existe o que necesitan de sus servicios.

4. El newsletter permite posicionar a la empresa como un experto al que acude un cliente en busca de asistencia y servicio.

5. El newsletter dirige el tráfico al sitio web. Clikitmedia aclara que el contenido de estos mensajes se puede reutilizar como información en el sitio web, lo que genera tráfico adicional desde los motores de búsqueda y las redes sociales.

6. Las personas que usan los servicios o compran los productos una vez vuelven a comprar cuando están listos. Un boletín de noticias es una excelente manera de mantenerse en contacto con ellos hasta que lo estén. Un informe de Monetate dice que el 4,24% de los visitantes que llegan de estrategias de marketing por correo electrónico compran algo en comparación con el 2,49% de los visitantes de los motores de búsqueda y el 0,59% de las redes sociales.

7. Los boletines informativos se personalizan para incluir eventos e incluir noticias de importancia. Se incluye información muy específica y personalizada sobre los productos y servicios, sin que sea demasiado insistente o comercial. Aberdeen afirma que los mensajes de correo electrónico personalizados mejoran las tasas de clics en un promedio del 14% y las conversiones en un 10%.

8. Los boletines tienen un valor de aprobación. Un buen boletín será compartido con un promedio de otras 3 personas.

Tipos de newsletter que puedes considerar

– Promocionales. Son utilizados con frecuencia por las empresas para promocionar un producto o servicio. También son conocidos como boletines de márketing; generalmente se envían a clientes actuales o potenciales de forma gratuita con la intención de convertirlos en clientes habituales.

– Sociales. Estos se centran en los intereses compartidos de la audiencia. Pueden ser boletines de clubes, boletines para empleados, boletines de iglesias, boletines para exmiembros de alguna organización, entre otros. Normalmente, se distribuyen sin costo alguno, aunque algunas organizaciones pueden enviarlos solo a miembros pagos.

– Expertos. Por lo general, se centran en un tema específico y el destinatario es alguien que ha solicitado específicamente la información que se distribuye en el boletín. Además, está dispuesto a pagar por la información.

Imagen: Pixabay.

Lleva tu negocio a internet es una categoría especial en alianza con .CO Internet. El dominio .CO es un patrimonio de todos los colombianos que se ha posicionado como los dominios más importantes a nivel global.

Si tu negocio cuenta con un sitio web en el que recoges datos personales de tus usuarios, ya sea direcciones de correo electrónico, teléfonos o nombres, tienes el deber legal de cuidar esa información que hace parte de la vida privada de los usuarios.

Esto es importante pues, en muchas ocasiones, las personas no saben o no tienen claro que están dando a terceros su información e incluso otorgando el consentimiento para tratarlos o cederlos. Para que esto no resulte en un problema para tu empresa, es mejor aprender a manejar el tema.

Por ejemplo, las empresas no pueden publicar fotografías sin autorización del titular, ni hacer publicar listas de personas o tener un formulario de contacto sin autorización para el tratamiento de datos personales. Así mismo, siempre deben explicar con qué fines van a usar la información y respetar ese compromiso.

Debes tener en cuenta que todo esto se enmarca dentro de una ley colombiana llamada ‘Ley de Habeas Data’, que establece que los usuarios tienen derecho a conocer y obtener de forma gratuita información sobre sus datos de carácter personal que se vayan a tratar por la web. La misma ley les da a los usuarios la posibilidad de corregir o modificar los datos que consideren erróneos, inexactos o
incompletos. También pueden suprimir los datos que resulten ser inadecuados o excesivos y pueden oponerse a que se lleve a cabo el tratamiento mismo de los datos.

El uso de información personal puede hacerse siempre y cuando exista autorización expresa por parte del titular del dato. Esto implica comunicar a los visitantes del sitio sobre la recolección de información, idealmente a través de una política de privacidad que les permita entender bien qué datos se recogen y con qué propósito.

Cómo proceder

Las empresas pueden recoger datos de los usuarios o clientes a través de diferentes canales:

– Canales directos: Se refieren a los usuarios que facilitan ellos mismos sus datos a través de formularios o de pestañas insertas en el sitio web.

La forma más común son los formularios. En todos los formularios de la web en los que se recogen datos de carácter personal hay que articular la manera de obtener la aceptación del tratamiento de los datos. Hay varios métodos, como marcar una casilla dentro del formulario con lo cual la persona autoriza al tercero para el manejo de sus datos; también es posible el envío previo de un correo electrónico con un enlace que la persona debe acceder y que le indica a la web que sí acepta las condiciones para el manejo de su información.

– Canales indirectos: Se establecen cuando la empresa, a través de ‘cookies’, recoge información de quienes acceden a su sitio. Las ‘cookies’ o galletas informáticas son información enviada por un sitio web y almacenada en el navegador para que se pueda consultar la actividad previa del usuario. Cuando se empleen en el sitio web es preciso dar aviso mediante un plugin. Es decir, que salte una ventana en la que se avise de la utilización de cookies y su finalidad, con un enlace que redirija a la parte de la política de privacidad que trata esta cuestión.

Imagen: Pixabay, Pixabay

Vender por internet es un paso importante para cualquier empresa, porque origina cambios en todos los niveles: cambios organizacionales, en los cuales debes re-acomodar tu recurso humano o contratar nuevos colaboradores para atender los diferentes frentes de tu tienda en línea; cambios en la estrategia de ventas, para considerar nuevos canales de comercialización (como las redes sociales o las aplicaciones de mensajería); e incluso cambios de mentalidad, para que puedas identificar oportunidades de negocio que antes ignorabas o creías inalcanzables.

Cada uno de estos cambios, al tiempo que te permiten ampliar las fronteras de tu empresa, conlleva retos en materia de seguridad que no puedes pasar por alto. Algunas empresas y emprendedores piensan que la responsabilidad de un comercio electrónico se limita a contratar una pasarela de pago, pero resulta que la seguridad de los medios de pago es también responsabilidad del vendedor en internet.

Como lo señala la ley colombiana, sin importar si los medios de pago dispuestos en tu tienda en línea son propios o ajenos, eres responsable por las fallas de seguridad que se puedan presentar en esta. Así mismo, existen otro tipo de normas, por ejemplo la ley 1480 de 2011, a través de la cual un comprador puede solicitar la reversión de su pago, en caso de fraude o del desarrollo de una operación que este no autorizó.

Por lo anterior, es importante que elabores una lista de requisitos de seguridad que tu tienda debe cumplir, para evitar inconvenientes con los usuarios. A pesar de que cada vez son menos las personas que ven la seguridad como una barrera para realizar sus compras en línea, todavía existe un alto porcentaje de usuarios que prefiere finalizar sus compras en tiendas físicas por miedo a que la seguridad de sus datos financieros o la información de sus tarjetas sea vulnerada.

Uno de los puntos que debes incluir en tu lista de requisitos imprescindibles de seguridad –retomando el tema de los cambios– es la capacitación de tu personal, sobretodo del que interactúa con la información sensible de los clientes a diario, para que aprendan a gestionar estos datos de forma adecuada. Un colaborador podría ser el eslabón débil de la cadena.

En un artículo anterior les contamos que según Digital Guardian, el 97% de los ataques informáticos se basan en técnicas de ingeniería social que consiguen la información necesaria para afectar la seguridad informática. Pues bueno, las medidas preventivas que implementes a nivel de hardware muchas veces no son suficientes si las personas –por ejemplo– intercambian datos relevantes a través de correo electrónico.

Aun así, esto no quiere decir que no incluyas dentro de tu lista de pendientes soluciones de seguridad avanzadas. Compañías como Symantec han desarrollado aplicativos para empresas de todos los tamaños que pueden detectar amenazas emergentes y bloquearlas antes de que se ejecuten.

Nuevos canales de comercialización también te obligan a seguir protocolos de seguridad que le transmitan al cliente una sensación de seguridad y confiabilidad. Atender solicitudes por teléfono, correo electrónico o chat en línea implica muchas veces la grabación de llamadas o el manejo de autorizaciones por escrito que no puedes ignorar, ya que de estas acciones depende la buena experiencia del comprador. En este punto, es bueno que consultes todo lo relacionado con la ley de protección de datos o Ley de Habeas Data.

La seguridad informática a la hora de vender por internet también tiene que ver con el dominio y el hosting de tu sitio web. El dominio colombiano .CO es uno de los más seguros del mundo y debido a que la seguridad de un sitio web empieza por escoger un dominio que cuente con altos estándares de seguridad -después de elegir el dominio que se ajuste a tus necesidades en www.cointernet.com.co– es importante que escojas un proveedor de hosting que ofrezca un servicio de hosting que reduzca las posibilidades de un ataque informático

El hosting debe incluir tecnologías como Raid, una tecnología de almacenamiento que permite hacer copias de seguridad y evitar las caídas del sitio, más si este comprende transacciones electrónicas.

Tener presente estas recomendaciones hará que la experiencia del cliente sea cada vez mejor, y te ayudará a ser competitivo frente a otros comercios en internet que oferten productos y servicios similares a los tuyos. Recuerda que según un estudio realizado por KPMG, en el cual se tuvieron en cuenta los datos entregados por redes procesadoras de pago como Credibanco, Redeban y PSE, las transacciones electrónicas en Colombia equivalen aproximadamente al 4,08% del PIB y en 2015 representaron 16.329 millones de dólares.

Lo anterior significa que dejar de vender no es una opción, pero a la hora de hacerlo, es importante prestarle atención a la seguridad.

Imagen: Pixabay.

Lleva tu negocio a internet es una categoría especial en alianza con .CO Internet. El dominio .CO es un patrimonio de todos los colombianos que se ha posicionado como los dominios más importantes a nivel global.

El anuncio de la Superintendencia de Industria y Comercio, acerca de que se amplió el plazo para el registro de las bases de datos (RNBD) de las empresas hasta el 30 de junio de 2017, seguramente le representó un alivio a muchas empresas. Recordemos que la fecha límite inicial era este martes 8 de noviembre.

Sin embargo, esta entidad fue clara en manifestar que este trámite gratuito lo deben llevar a cabo todas las empresas, sin importar su tamaño, el número de empleados, la cantidad de datos o el tipo de datos que administren, y que aquellos que no hagan el registro, podrían incurrir en multas de carácter personal o institucional por el equivalente a 2.000 salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción.

Al parecer, la razón que suscitó el cambio en la fecha tuvo que ver con que el Ministerio de Comercio presentó un proyecto de reforma del decreto 1074 del 2015, relacionado con la política de tratamiento de datos personales en las empresas, a raíz -precisamente- de las solicitudes de las personas que pedían más tiempo para el registro y el bajo índice de bases de datos subidas a la plataforma.

Por esto, si inquietudes relacionadas con el proceso de registro es lo que ha impedido que te pongas al día con esta tarea, a continuación te compartimos algunas respuestas útiles para que registres las bases de datos de tu empresa con anticipación.

¿Qué bases de datos se deben registrar?

De acuerdo con la Superintendencia de Industria y Comercio, se deben registrar todas las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual vaya a ser realizado por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él. Dicho registro debe ir acompañado de la información de los responsables del tratamiento de los datos en tu empresa.

¿Las empresas que tengan un solo empleado o unos activos pequeños también deben registrar sus bases de datos?

La ley de protección de datos personales es aplicable a todas las empresas que recolecten, almacenen, usen o circulen datos personales. Esto quiere decir que características como el tamaño de la empresa, el número de empleados, la cantidad o el tipo de datos personales que gestione no excluye a una empresa de este proceso.

En mi empresa no tengo bases de datos personales. Aún así ¿debo realizar el registro?

Si no tienes bases de datos, no es necesario que realices el registro. Sin embargo, es importante que revises a fondo si en tu empresa se usan datos personales que puedan estar no solo en archivos físicos sino también en archivos electrónicos. Así mismo, es importante que valides si recopilas datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores, ya que si la respuesta es sí, entonces será necesario que inscribas estas bases de datos en el RNBD.

¿Qué pasa si no registro mis bases de datos?

El artículo 23 de la Ley 1581 de 2012 faculta a la Superintendencia de Industria y Comercio para que pueda imponer a los responsables del tratamiento y encargados del tratamiento de los datos en tu empresa las siguientes sanciones:

-Multas de carácter personal e institucional hasta por 2.000 salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras  exista el incumplimiento que las originó.

-Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

-Cierre temporal de las operaciones relacionadas con el tratamiento de los datos personales, si no se adoptaron las medidas correctivas ordenadas por la Superintendencia de Industria y Comercio en el tiempo estipulado.

-Cierre inmediato y definitivo de la operación que involucra el tratamiento de datos sensibles.

¿A dónde debo dirigirme si ya tengo listas mis bases de datos?

Si ya tienes tus bases de datos organizadas puedes ingresar al sitio web de la Superintendencia de Industria Comercio, crear un usuario y una contraseña, e iniciar con el proceso de inscripción. Así mismo, te será bastante útil visitar el video tutorial y el manual de ayuda acerca de cómo realizar el registro, los cuales también están disponibles en este sitio web y responden dudas relacionadas con cómo modificar, eliminar o actualizar los datos que ya subiste a la plataforma.

En general, será posible eliminar o modificar toda la información ingresada en el RNBD, siempre y cuando no hayas finalizado el registro de la base de datos, es decir, no le hayas asignado un número de radicado. Pero, si ya finalizaste el registro de la base de datos y en la información ingresada hay errores, estos se podrán corregir mediante la opción ‘Modificar Registro’. Una vez efectuada la corrección, se debe finalizar nuevamente la inscripción.

Por otro lado, dentro de las recomendaciones que hace la Superintendencia de Industria y Comercio para que no ocurran inconvenientes a la hora de registrar las bases de datos, está que hagas un inventario del total de las bases de datos con información personal -en papel o en formato digital- que reposan en las instalaciones de tu empresa. También que definas la cantidad de titulares por cada base de datos, que se cuente con información detallada de los canales de comunicación previstos para atender las peticiones o reclamos de los titulares, que se adopten medidas de seguridad para minimizar los riesgos de un uso inadecuado de los datos personales tratados, que se aclare la forma de obtención de los datos (comunicación directa con el titular o a través de terceros), que se determine si se ha realizado una transferencia o una transmisión internacional de los datos personales contenidos en las bases de datos de tu empresa, o si se ha realizado una cesión de las bases de datos.

Alista tu política de protección de datos

El registro de las bases de datos debe ir acompañado de la política de tratamiento de datos personales de tu empresa. Según un decreto (Decreto único 1074 de 2015), las políticas de tratamiento de la información deben estar en medio físico o electrónico, en un lenguaje claro y sencillo, y deben darse a conocer a los titulares de los datos. Dichas políticas deberán incluir información como:

-Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable de los datos en tu empresa.

-Tratamiento al cual serán sometidos los datos y, finalidad del mismo (sobretodo cuando esto no fue informado a las personas mediante un aviso de privacidad).

-Derechos del titular o la persona que ha entregado sus datos.

-Nombre de la persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato, o a revocar la autorización.

-Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

-Fecha de entrada en vigencia de la política de tratamiento de la información, y período de vigencia de la base de datos.

Imagen: Pixabay.

Del 5 al 25 de octubre, la Superintendencia de Industria y Comercio (SIC) estará realizando diferentes jornadas de capacitación sobre el Registro Nacional de Bases de Datos en varias ciudades del país.

Estos espacios se presentan faltando menos de un mes para cumplirse la fecha límite que tienen las empresas para registrar sus bases de datos. A continuación te compartimos las horas y lugares en donde se llevarán a cabo:

SAN ANDRÉS

Fecha: 5 de octubre.

Lugar: Cámara de Comercio de San Andrés, Providencia y Santa Catalina (Av. Francisco Newball N° 4A – 20 Piso 2)

Hora: 2:00 – 4:00 p.m

CÚCUTA

Fecha: 11 de octubre.

Lugar: Cámara de Comercio de Cúcuta (Auditorio Piso 2 CC Cra 10 No 4-38 Torre B)

Hora: 9:00 – 11:00 a.m

ARAUCA

Fecha: 13 de octubre.

Lugar: Cámara de Comercio de Arauca (Cra 25 No. 18A – 49 Auditorio Carlos Isael Gaona)

Hora: 8:00 – 9:00 a.m

NEIVA

Fecha: 20 de octubre.

Lugar: Cámara de Comercio de Neiva (Carrera 5 No. 10 – 38 piso 3)

Hora: 8:30 – 10:30 a.m

CASANARE

Fecha: 21 de octubre.

Lugar: Cámara de Comercio de Casanare (Diagonal 16 N° 14-08)

Hora: 10 a.m – 12:00 m.

PASTO

Fecha: 24 de octubre.

Lugar: Cámara de Comercio de Pasto (Calle 18 N° 28-84)

Hora: 10:00 a.m – 12.00 m.

MANIZALES

Fecha: 25 de octubre.

Lugar: Cámara de Comercio de Manizales (Carrera 23 N° 26-60)

Hora: 9:00 – 11:00 a.m

Así mismo, este jueves 13 de octubre –a partir de las 9:00 a.m.– la SIC estará resolviendo inquietudes sobre el proceso de registro a través de un chat en línea. Es la segunda vez que se desarrolla esta actividad, ya que el 12 de julio, voceros de esta entidad conversaron con más de 32 usuarios conectados desde Bogotá, Cali, Medellín, Ibagué, Barranquilla, Envigado, Santa Marta y Villavicencio.

Imagen: Pixabay.

El 8 de noviembre se vence el plazo para que las empresas registren sus bases de datos en el Registro Nacional de Bases de Datos (RNDB) de la Superintendencia de Industria y Comercio.

Dicha obligación responde a una ley (la ley 1581 de 2012) cuyo objetivo es darle cumplimiento al derecho constitucional que tienen todas las personas de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, además de los demás derechos, libertades y garantías constitucionales consignadas en el artículo 15 de la Constitución Política, y el derecho a la información consagrado en el artículo 20 de la misma.

Para que evites sanciones por no registrar las bases de datos de tu empresa a tiempo, o irregularidades al momento de realizar el registro, la Superintendencia de Industria y Comercio recomienda leer el Manual de Usuario del Registro Nacional de Bases de Datos, en donde se describe paso a paso el proceso que debes seguir para cumplir con este tarea.

Pero, debido a que el registro implica organizar las bases de datos de la empresa con anterioridad, manejar contraseñas y administrar usuarios, algunos especialistas en seguridad de la información como John Edison Martínez, -gerente de desarrollo de negocio de Password- recomiendan tener en cuenta los siguientes aspectos antes de realizar el registro:

1. Identifica las bases de datos en donde tu organización registra los datos de personas naturales, tales como nombre, cédula, correo electrónico, números de teléfono o celular, género, fecha de nacimiento, entre otros.

2. Antes de proceder con el registro, asegúrate de que en tu empresa se garantice el uso correcto y responsable de esta información. Para ello, es necesario tener claro cómo se obtuvieron esos datos, en qué momento se van a utilizar, cuáles son las políticas de protección de datos de tu compañía y qué estrategias se llevan a cabo para socializar dicha política con los empleados de tu empresa que tienen que manejar o gestionar estos datos.

3. Define un procedimiento para obtener la autorización de las personas, antes de recibir sus datos. Este procedimiento debe incluir una explicación clara para el usuario acerca de cómo serán utilizados sus datos en tu empresa.

4. Infórmate sobre los riesgos a los que podrían estar expuestos los datos personales en tu organización, y establece las medidas tecnológicas o físicas que pueden proteger la información ante dichos riesgos.

5. Diseña un manual interno de procedimientos y políticas, para cumplir con la ley de protección de datos, y delega a una persona que le pueda hacer seguimiento al tema.

6. Finalmente, registra las bases de datos personales en la página indicada por la Superintendencia de Industria y Comercio  en el tiempo establecido.

Imagen: Pexels.

Por: German Realpe*

En los últimos días, muchas personas se han dado cuenta como en periódicos de amplia circulación nacional, correos electrónicos y en redes sociales, se informa a las personas sobre la aplicación de la Ley 1581 de 2012 y el Decreto 1377 de 2013, o ley de datos personales. Los avisos publicados por empresas en diferentes sectores le informan a sus clientes, empleados y proveedores, que tienen sus datos personales y que si no está interesado en que se usen, administren o gestionen en cualquier momento puede hacer uso del derecho fundamental de habeas data.

Este derecho consiste en conocer, actualizar y rectificar las informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas. (Artículo 15, Constitución Nacional)

Se debe resaltar, para los que no conocen el tema, que en Octubre de 2012 se expidió la ley de datos personales (Ley 1581 de 2012), la cual da una serie de obligaciones a todo tipo de empresas públicas y privadas, entre ellas:

• Contar con políticas de protección de datos.
• Tener mecanismos para actualizar, eliminar y consultar los datos personales.
• Contar con la autorización del titular de manera expresa e informada, ya sea de forma física o electrónica.
• Proteger los datos personales de niños, niñas y adolescentes.
• Utilizar mecanismos de seguridad para el manejo de datos personales y sensibles.

 La Ley 1581 daba un plazo, de 6 meses para adecuar las obligaciones legales, el cual se venció en abril.

Como la Ley 1581 de 2012 ordenaba reglamentar algunos puntos en el manejo de datos personales, se expidió, el 27 de junio, el Decreto 1377 de 2013, el cual reglamenta parcialmente la ley de datos personales, y resalta que:

• Se debe contar con avisos de privacidad, que es una comunicación verbal o escrita que informa sobre la existencia de las políticas de protección de datos.
• Las empresas deben tener prueba de la autorización del titular para el manejo de datos personales.
• La autorización también se puede obtener por mecanismos técnicos que faciliten al titular su manifestación automatizada.
• Los encargados de tratamiento de datos deben implementar mecanismos gratuitos, y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
• Otras obligaciones y derechos que se pueden ver en el decreto 1377.

Una de las preguntas que muchos se hacen, es: ¿qué pasa con los datos que se recogieron antes de la expedición de la ley y el decreto?

El artículo 10 da una solución que para muchos es acertada pero que genera muchas dudas. El decreto menciona que si se genera una carga desproporcionada para recoger la autorización, se podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, página de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco días siguientes a su implementación.

El problema que se ha generado

Los últimos días los distintos diarios de circulación nacional se han llenado de avisos para dar cumplimiento al decreto. Por ejemplo, El Tiempo registro más de 10 de avisos en un solo día. En primer lugar se debe decir que se está confundiendo el aviso de privacidad con las políticas o la autorización. Algunas empresas lo están enviando por correo electrónico más de 4 veces al día, por lo que se convierte en spam.

Se debe resaltar que el mecanismo de aviso de prensa solo se debe usar cuando exista una carga desproporcionada. Existen otras formas para comunicar a los usuarios la política de manera eficiente.

Otras empresas están generando cargas absurdas para los usuarios. Ese el caso de operadores de telefonía, que dicen que los usuarios tienen que acercarse a sus oficinas o  centros de servicios. Uno de los avisos en circulación decía que esto también facultaba a entregar datos a terceros, desconociendo por completo el principio de finalidad que menciona la ley.

Que un usuario no llame, no escriba o se de baja a un correo electrónico, no significa que este dando su consentimiento o autorización para el manejo de datos. Otras empresas publican el aviso y no tienen políticas o mecanismos de protección de datos personales.

La protección de datos no se hace de la noche a la mañana, la ley impone una obligación de control constante. En cualquier momento, el usuario puede exigir que su información sea eliminada –o actualizada- de la base de datos.

La protección de datos no debe verse solo por estos días que está de moda el decreto. Colombia se encuentra en una nueva era de protección de datos, que debe analizarse, asumirse, asesorarse  y cumplirse con la debida calma.

______

* Consultor en Derecho Informático, Seguridad de la Información, Protección de Datos y Cloud Computing. Columnista revista impresa ENTER. CEO de Cloud Seguro.