El principio de responsabilidad demostrada, o principio de accountability31, está consagrado en el artículo 26 del Decreto 1377 de 2013[32] y se traduce en la exigencia de que:
[…] los responsables y encargados del tratamiento de datos, implementen medidas apropiadas, efectivas y verificables que les permitan probar el correcto cumplimiento de las normas sobre tratamiento de datos personales (Remolina y Álvarez, 2018: 28).
A pesar de ser una prerrogativa predicable de todas las organizaciones empresariales, su aplicación no es predicable en igual medida de todas ellas. El artículo 26 citado establece criterios de graduación de las medidas a adoptar y de la responsabilidad exigible a los responsables del tratamiento33. En los términos del artículo mencionado, para juzgar la responsabilidad de las personas que realicen el tratamiento se debe tener en cuenta el tamaño empresarial de la organización, la naturaleza de los datos personales, el tipo de tratamiento y los riesgos potenciales que el tratamiento pueda causar a sus titulares. De esa forma, las medidas de protección dependen del riesgo que implique el tratamiento de los datos personales al interior de la organización, y demandará que estén documentadas para demostrar su adopción, siendo necesario también poder demostrar su aplicación34.
V. MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN
Como se ha visto, el principio de accountability demanda la implementación de medidas concretas y efectivas para la prevención y defensa de las amenazas digitales en materia de protección de datos personales. Sin embargo, hasta el momento no se ha mencionado cuáles son esas medidas y qué naturaleza tienen. Fue en desarrollo de esa preocupación, y con la idea de generar uniformidad y estandarización de las medidas técnicas, administrativas y humanas para los responsables del tratamiento de datos personales, que la Superintendencia de Industria y Comercio expidió una guía para el desarrollo del principio de responsabilidad, la cual contiene medidas básicas y estructurales para la debida protección de los datos personales, entre ellas, la construcción de un Programa Integral de Gestión de Datos Personales (PIGD) que deben implementar las organizaciones empresariales con el fin de mitigar, detectar y solucionar las amenazas digitales que afecten los datos personales35.
El PIGD, en concordancia con el artículo 27 del Decreto 1377 de 2013 y con otras recomendaciones de entidades de vigilancia, exige adoptar varias medidas36 que se pueden clasificar en tres grandes grupos: i) medidas administrativas tendientes a establecer una estructura interna administrativa y de políticas y mecanismos para el funcionamiento del programa de gestión de protección de datos; ii) medidas técnicas y operacionales que conllevan a la protección física y jurídica de los datos personales, y iii) medidas tendientes a verificar el cumplimiento del plan de gestión de datos y su actualización conforme a las necesidades que surjan al interior de la organización y a los riesgos identificados con anterioridad37.
De esa forma, el primer grupo de medidas administrativas y de adopción de políticas para el adecuado funcionamiento del programa incluye:
– Establecer una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable, para la adopción e implementación de políticas de tratamiento de datos.
– Adoptar mecanismos internos para poner en práctica las políticas, incluyendo herramientas de implementación, entrenamiento y programas de educación. De esta forma, debe comprometer recursos económicos y humanos para el desarrollo de estos mecanismos internos.
– Designar personal, o acudir a un área encargada –oficial de protección de datos– con el fin de vigilar el cumplimiento de las políticas y programas, y de informar a la dirección de la organización empresarial su estatus. Adicionalmente esa área se encargará de cumplir obligaciones concretas, tales como mantener un inventario de las bases de datos –con especial cuidado de las referentes a menores de edad–, inscribir en el registro nacional de bases de datos la información, revisar los contratos de transmisión con encargados del tratamiento, integrar las políticas de protección de datos personales con las políticas de la organización empresarial.
– Contar con la autorización del titular para la recolección de los datos personales, así como preservar copia de la misma.
– Adoptar una política de tratamiento de datos en la que se expongan aspectos tales como, la finalidad, la forma en que se realizará, los mecanismos de acceso y corrección del titular de la información, los mecanismos de quejas, denuncias y reclamos, entre otros.
– Exigir a los terceros encargados el cumplimiento de su política de tratamiento de datos particularmente en el ejercicio de las actividades de marketing, mercadotecnia y publicidad38.
– Desarrollar una evaluación de impacto en la privacidad del ejercicio de actividades de marketing, mercadotecnia y publicidad, con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos39.
– Adoptar procesos para la atención y respuesta de las consultas, peticiones y reclamos de los titulares de los datos personales con respecto a cualquier aspecto del tratamiento.
Este grupo de medidas se caracteriza por ser de carácter preventivo y constituye los requisitos mínimos administrativos y estructurales con los que una organización empresarial debe contar para lograr el adecuado tratamiento de los datos personales. Como se observa, se enfocan en la mitigación de los riesgos derivados de un indebido tratamiento, en contar con políticas de tratamiento de datos personales, en un proceso claro de autorización de los titulares, en un sistema de reclamos adecuado, así como en la designación de un área que monitoree su tratamiento al interior de la organización. Lo anterior permite que, ante una eventual investigación administrativa, prima facie, la organización empresarial pueda demostrar una debida diligencia desde el punto de vista administrativo. Sin embargo, como se expuso al inicio de este apartado, es necesario no solo demostrar la adopción de estos requisitos, sino una aplicación debida de cada uno de los procedimientos implementados por la organización empresarial.
De otra parte, existen medidas operacionales y técnicas llamadas a proteger de manera efectiva los datos personales40, pues de nada sirve para una organización empresarial contar con un equipo que se encargue de monitorear el tratamiento de la información, con políticas de tratamiento adecuadas y con un sistema de reclamos y quejas, si no adopta medidas técnicas que garanticen la protección de los datos personales y que respondan a un sistema de administración de riesgos propio del tratamiento de datos y acorde con la estructura organizacional, los procedimientos internos asociados, la cantidad de bases de datos y los tipos de datos personales tratados41.
Este sistema de gestión de riesgos debe permitir a la organización empresarial identificar, medir, controlar y monitorear todas aquellas circunstancias que puedan constituir amenazas digitales42. En el proceso de identificación la guía de la Superintendencia Industria y Comercio indica que es necesario documentar los procesos que se implementan para el ciclo de vida de los datos personales, la metodología de identificación de los riesgos, así como los riesgos e incidentes ocurridos. Así las cosas, la identificación y clasificación de los riesgos, así como la adopción de las medidas técnicas para mitigarlos constituyen los fundamentos del principio de responsabilidad demostrada43.
De otra parte, la medición se refiere a la probabilidad de ocurrencia de los riesgos y al impacto de su concreción, y el control se relaciona con las acciones positivas que se toman para
