Órdenes a empresas
Dentro de los resultados del estudio, se encontró que 148 empresas que tratan datos sensibles afirmaron no haber hecho nada respecto de las preguntas de seguridad de los datos. Por eso, la Superintendencia de Industria y Comercio emitió órdenes a todas estas empresas para que implementen medidas de seguridad para garantizar la seguridad de la información de las personas.
Estas empresas se encuentran ubicadas en las ciudades de: Bogotá (40,54%), Medellín (10,14%), Barranquilla (8,1%), Cali (8,1%), Bucaramanga (3,38%), Santa Marta (3,38%), Cartagena, Cota, Cúcuta, Dosquebradas, Envigado, Mosquera, Neiva y Pereira (todas las anteriores con un 1,35% cada una).
Respecto de la actividad económica de las empresas objeto de las órdenes están distribuidas así: sector de comercio (19,6%), construcción (14,2%), actividades financieras y de seguros (13,5%), industria manufacturera (10,1%), transporte y almacenamiento (9,5%).
Las órdenes se tomaron, además, teniendo en cuenta que estar empresas manejan datos sensibles respecto de los cuales la Corte Constitucional ha manifestado que sobre ellos existe una responsabilidad reforzada que, entre otras, exige mayores medidas de seguridad, de acuerdo con el artículo 5 Ley 1581 de 2012.
Orden a la Gobernación de Santander
En otra decisión, la Superintendencia de Industria y Comercio ordenó al Gobernador de Santander registrar todas las bases de datos de la Gobernación de ese departamento en el Registro Nacional de Bases de Datos (RNBD), la decisión se tomó mediante la resolución 71929 del 10 de diciembre de 2019.
La orden se emitió porque la SIC constató que la Gobernación de Santander no registró todas las bases que contienen datos personales. En efecto, la Gobernación solo registró algunas bases de datos de contratistas, pero omitió registrar, entre otras, las bases de datos con información de los ciudadanos que acuden a los servicios de la Gobernación y los servidores públicos.
La SIC detectó que a través de la página web de la Gobernación se han inscrito más de 13´497.437 personas para para recibir noticias mediante correo electrónico, no obstante, esa base de datos no se inscribió ante la SIC. También se constató que no se registraron todas las bases de datos de las dependencias que hacen parte de la estructura orgánica de la entidad como son, entre otras, las Secretarías de Salud, Educación, Infraestructura, Agricultura, TIC, Vivienda y Hábitat Sustentable, Cultura y Turismo, Desarrollo, Hacienda, Planeación y del Interior.
El Gobernador del Departamento de Santander deberá acreditar el cumplimiento de lo ordenado dentro de los cinco (5) días hábiles siguientes a la notificación de la citada resolución.
¡Superintendencia de Industria y Comercio,
confianza que construye progreso!
Bogotá D.C., 13 de diciembre de 2019. La Superintendencia de Industria y Comercio, en su rol como máxima autoridad para la protección de datos personales, realizó un estudio sobre las medidas de seguridad que han implementado 32,763 empresas y entidades públicas para recolectar, almacenar, usar, circular o tratar datos personales.
El estudio fue realizado con estas organizaciones Responsables del Tratamiento de Datos, las cuales registraron sus bases de datos en la Superindustria desde el año 2015 hasta el 18 de septiembre de 2019. Del total, 31.410 son empresas privadas (95,8%) y 1.353 son entidades públicas (4,1%).
Para recolectar la información, la Superindustria realizó 26 preguntas sobre seguridad en el formulario electrónico del Registro Nacional de Bases de Datos (RNBD). Respecto de cada una, el Responsable del Tratamiento (empresa o entidad pública) solo debía manifestar Sí o No.
Según la Ley 1581 de 2012 todas las empresas y entidades públicas están obligadas a implementar medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Asimismo, deben conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
De las respuestas de las 32,763 personas jurídicas se concluye lo siguiente:
En promedio, tan solo el 34,3% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 65,7% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. Únicamente 884 (2,7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC. El 79% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible. El 88% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales. El 82% de los responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. El 71% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. De este 71%, tanto en el sector público como el privado, llama la atención que el 27,8% de las entidades públicas y sociedades privadas (ESAL, sociedades o Mixtas), tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.
SIC identificó que la Gobernación de Santander no ha registrado todas sus bases de datos y le dio un plazo de 5 días hábiles para hacerlo.