Según información de la propia la Superintendencia de Industria y Comercio, durante el 2020 se recibieron 16 mil quejas por infracciones a la protección de datos, impuso multas por más de 7 mil millones de pesos y emitió más de 2 mil órdenes para que las empresas cumplan con la legislación en esta materia.

De acuerdo a la entidad "se recibieron 16.237 quejas, y el 89 por ciento de ellas se presentaron por presuntas infracciones a la Ley Estatutaria 1266 de 2008 , en donde la queja principal fue el 'Incumplimiento del principio de veracidad o calidad de la información".



De igual manera, se confirmó que durante el año pasado se impusieron multas por $7.580187.680, y se "emitieron 2.070 órdenes para que las empresas cumplan con la legislación que protege los datos personales. La entidad hace énfasis en los siguientes interrogantes:

¿Cuáles son las causas que generan un incidente de seguridad?

Los incidentes de seguridad pueden generarse por diferentes razones como, entre otras, las siguientes:



• Inexistencia de políticas preventivas de seguridad

• Errores o negligencia humana.

• Casos fortuitos.

• Actos maliciosos o criminales.

• Fallas en los sistemas de la organización.

• Procedimientos defectuosos.

• Deficiencias o defectos en las operaciones.

• Alteración; destrucción; robo o pérdida de

archivos físicos.



¿Cuáles son las medidas preventivas dentro de una organización para hacer frente a un incidente de seguridad?

• Entrenar periódicamente al equipo humano de la organización para actuar frente al incidente de seguridad. Se recomienda efectuar simulacros preventivos como se hacen, por ejemplo, para casos de incendios o temblores.



+Frente a un incidente de seguridad, la gente debe estar preparada para actuar de inmediato, profesionalmente e inteligentemente.



• Precisar exactamente cuándo se está ante un incidente de seguridad que afecte Datos

Personales. No todas las fallas de seguridad necesariamente involucran la confidencialidad, integridad y disponibilidad de información de

carácter personal



• Definir las medidas y el procedimiento interno para el manejo de los incidentes de seguridad.



Diseñar la metodología para la evaluación del impacto de los incidentes de seguridad en los Titulares de la información.



• Evaluar posibles consecuencias adversas para una persona, en caso de que se desencadene un incidente de seguridad, por ejemplo, el cometimiento de delitos; la afectación de derechos; etc.



•Conocer los procesos de respuesta a incidentes de seguridad, sistemas de corrección y de recuperación, incluidos aquellos establecidos por los Encargados del Tratamiento.



• Cumplir con lo establecido en la Ley 1581 de 2012, así como con las órdenes y/o instrucciones que imparta la SIC.



• Reportar el incidente de seguridad tanto a la SIC como a otras autoridades públicas, según sea el caso.



• Preparar al equipo de comunicaciones frente a las posibles preguntas e inquietudes de Titulares de la información, accionistas, clientes, proveedores, empleados y medios de comunicación, respecto del incidente de seguridad.



Daños para las personas que podrían resultar de un incidente de seguridad:

La Superintendencia de Industria y Comercio es clara en informar qué daños para las personas podrían resultar de un incidente de seguridad:

​

• Riesgo en su seguridad física o psicológica



• Extorsión económica o sexual



• Hurto de identidad



• Suplantación de identidad



• Pérdida financiera



• Negación de un crédito o seguro



• Perfilamiento con fines ilícitos



• Pérdida de negocios u oportunidades de empleo



• Discriminación



• Humillación significativa o pérdida de dignidad y

daño a la reputación.

¿Qué daño para la organización podría resultar de un incidente?

Los ejemplos incluyen:



• Pérdida reputacional



• Pérdida de clientes o usuarios



• Pérdida de confianza en la organización



• Honorarios de consultores e ingenieros forenses



• Pérdida de activos



• Sanciones, órdenes e instrucciones

administrativas



• Exposición financiera



• Órdenes judiciales



• Demandas judiciales



El tema de las fotografías

La Superintendencia de Industria y Comercio tocó el tema de las fotografías, clave en situaciones personales y profesionales.



La entidad dice que la Ley Estatutaria 1581 de 2012 desarrolló este mandato constitucional que aplica, entre otras, a la recolección y uso de fotografías. Dicha ley no solo define como “Tratamiento” cualquier actividad que se realice con Datos Personales (como las fotos) sino que dentro de las definiciones del artículo tercero establece varios sujetos, a saber:



Advierte que en primer lugar, el TITULAR DEL DATO que sería la persona fotografiada; en segundo lugar, el RESPONSABLE DEL TRATAMIENTO quien decide sobre el Tratamiento

de la foto, por ejemplo, define qué fotos se tomarán y para qué finalidades.



El Responsable puede ser, según el caso, el fotógrafo o una empresa. Finalmente, el ENCARGADO DEL TRATAMIENTO que usualmente es un tercero contratado por el Responsable para que por cuenta de éste realice, por ejemplo, un estudio de fotografía.



Es el caso de una empresa fabricante de productos (Responsable del Tratamiento) que contrata a una empresa de publicidad o a un fotógrafo (Encargado del Tratamiento)

para que tome fotos con miras a elaborar una campaña publicitaria.



La Superintendencia de Industria y Comercio dice que esa ley establece los derechos del fotografiado o Titular del dato (artículo 8) y los deberes legales del Responsable y del Encargado (artículos 17 y 18 respectivamente).



La definición legal de ‘documentos’ es muy amplia y comprende, entre otras, las fotos y las videograbaciones. Estos documentos pueden contener diferentes tipos de información dentro de la cual están los Datos Personales, caso en el cual se deben observar las reglas de la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias.



La entidad afirma que es importante relievar que no toda foto es, per se, un dato personal. Solo lo serán aquellas que contengan “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”.



Y concluye que la foto será Dato Personal en la medida en que permita establecer la identidad de una o varias personas naturales en particular. Si, por ejemplo, la foto contiene la imagen de personas con máscaras en su rostro o que están de espaldas de tal forma que no se pueda establecer la identidad de cada una de ellas, pues esa fotografía no es un Dato Personal.

De las fotos para fines periodísticos y editoriales

Al igual que en el caso anterior, la Ley 1581 de 2012 tampoco aplica a las “bases [sic] de datos [sic] y archivos de información periodística y otros contenidos editoriales”.



Esta excepción no incluye las Bases de Datos que tienen los medios de comunicación para fines comerciales o de marketing15. Tampoco aplica cuando, por ejemplo, un periodista usa fotos como parte de las piezas de publicidad para vender sus productos.



La Corte explicó que esta excepción “(…) pretende evitar que las bases [sic] de datos [sic] y archivos de carácter periodísticos se vean sometidos a los mismos límites que

la información general, lo que podría traducirse en una limitación desproporcionada de la libertad de prensa, e incluso en censura -piénsese por ejemplo en la posibilidad

de la obligación de revelar las fuentes”16.



En otras palabras, la idea de esta excepción es no aplicar en su totalidad las reglas generales de Tratamiento a los datos que se recolectan con fines de publicación,

transmisión u otras formas de comunicación pública de material periodístico.

Recomendaciones

1. Obtener Autorización previa, expresa e informada para tomar fotos y usarlas.

2. Verificar la procedencia legítima de las fotos que le suministran terceros.

3. Tener presentes las reglas especiales para tratar fotos de menores de 18 años.

​4. Informar al fotografiado (Titular del Dato) los fines específicos para los cuales se

usarán las fotos.



5. Abstenerse de obtener fotos de manera engañosa y no asumir que las fotos de

acceso público puede usarlas libremente



6. Exigir el respeto de la regulación de Protección de Datos a los terceros que

contrate para tratar fotos.



