¿Ha recibido llamadas en donde su interlocutor conoce su número de cédula, dirección de residencia, banco, lugar de trabajo y hasta nombres de familiares, sin que usted los haya suministrado? ¿Ha sido suplantado por delincuentes que obtuvieron préstamos a su nombre, compraron mercados o vaciaron sus cuentas bancarias? ¿Alguien sabe primero que usted cuándo vence su Soat y conoce si tiene saldos en rojo?



En muchos de estos casos sus datos personales pueden haber quedado al descubierto por la falta de políticas de protección de empresas públicas, privadas y mixtas que no han implementado aún herramientas tecnológicas y legales para evitarlo.



El tema ha cobrado mayor relevancia en plena pandemia, cuando la gente se ha volcado a hacer compras on line y a realizar reuniones privadas a través de plataformas tecnológicas.



Para entender la dimensión del tema, usted debe saber que los llamados datos personales van desde su nombre y cédula, hasta su filiación política e información de salud, pasando por datos de riesgos o si usted es sindicalista.



Además, clasifican el número de sus cuentas bancarias y tarjetas de crédito. El manejo de toda esa información es regulada por la Ley, que la clasifica como reservada o sensible”, explicó Andrés Barreto, superintendente de Industria y Comercio (SIC) (ver entrevista abajo).

Este diario tuvo acceso anticipado al segundo gran estudio que culminó la SIC, en el que se concluye que de 33.593 organizaciones (públicas y privadas), el 50,7 % aún no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales que manejan.



El resultado causa alarma si se tiene en cuenta que en ese universo de empresas que le reportan información a la SIC, hay desde entidades de orden nacional hasta empresas privadas que ofrecen servicios y venden bienes en línea.



En efecto, en esas cerca de 34.000 organizaciones hay desde bancos (que son los que más invierten en este tipo de protección) hasta empresas de telecomunicaciones, venta por catálogo, colegios, propiedades horizontales y todos aquellos que recaban información a través de base de datos y que por ley deben rendirle cuentas a la SIC.

La SIC ya indagó debilidades en la protección de datos de empresas como Uber. Foto: Uber

Debilidad de acceso remoto

La SIC, como autoridad nacional de protección de datos y administrador del Registro Nacional de Bases de Datos (RNBD), aplicó una encuesta especializada y si bien hay una mejoría con relación con los datos de 2019, el resultado no es alentador.



Del universo de empresas consultadas 31.333 (el 93,3 por ciento) son privadas y 2.263 (el 6,7 por ciento) son públicas y todas respondieron 26 interrogantes sobre la obligación que les impone la Ley 1581 de 2012 en materia de protección de datos.

Tan solo el 49,3 por ciento respondieron haber cumplido con los requerimientos sobre seguridad. Esto se traduce en que el 50,7 por ciento de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.



(En contexto: Primero le ‘roban’ su número de celular y luego le vacían la cuenta )



De hecho, únicamente 2.769 (el 8,2 por ciento) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, y 1.230 (el 3,7 por ciento) admitieron que no han hecho absolutamente nada al respecto.

Y las cifras negativas siguen apareciendo cuando se avanza en el estudio de la SIC.

Y solo el 32, 5 de los responsables del tratamiento de datos ya implementó un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 50,1 por ciento usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley.

Tercerización, mayor riesgo

Y si las cosas en seguridad no avanzan cuando las empresas manejan los datos, el tema se complica cuando tercerizan su manejo.



La Delegatura de Protección de Datos Personales de la SIC decantó los resultados del estudio y estableció que el 60,9 por ciento de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal.

Y la cifra es preocupante si se tiene en cuenta que de ese universo, tanto en el sector público como el privado, el 41,7 por ciento tienen Encargados de Tratamiento. Esto significa que han tercerizado servicios en el tratamiento de los datos personales.



La SIC ha sacado varias directrices para ayudar a las empresas a levantar diques de protección. Pero la ley es clara y, además de las alertas, se prevén millonarias multas. Y en caso de que se trate de temas de suplantación y robos, la justicia penal entra a actuar.

‘Para quien incumpla, hay multas y otros casos pasan a la Fiscalía’: Superintendente

Andrés Barrero González, superintendente de Industria y Comercio, admite que el país está rezagado en el manejo de datos personales. Foto: Mauricio Moreno / ETCE

¿Qué se consideran datos personales?

Está clasificada de diferentes maneras. Hay datos generales, como su nombre y dirección; y datos sensibles, como filiación política, información de salud o si tengo riesgo de exposición. Y hay datos que revisten información financiera, como su cuenta bancaria, su número de tarjeta de crédito o su lugar de trabajo. Y tienen tratamiento distinto en la ley: algunos son reservados o sensibles.



¿Quiénes respondieron esta encuesta?

Engloba casi 34.000 organizaciones –que pueden ser derecho privado o público– que tienen bases de datos que están obligadas a registrarlas ante la SIC. Hay multiplicidad de actores, desde entidades públicas hasta organizaciones de derecho privado como bancos, empresas de telecomunicaciones, venta por catálogo, colegios... Toda aquella entidad y organización que recoja datos personales y que tenga una base de datos.



¿Qué busca el estudio?

Verificar cuáles son las condiciones de seguridad de esos datos y dónde puede haber riesgos potenciales para los colombianos.



Hay un pequeño progreso con relación a 2019, pero el rezago del país es grande...

Sí. Creo que obedece a dos cosas. Primero, que la Ley fundamental de datos es de 2012 y la delegatura de datos personales, de 2013. Tal vez es desde el 2018 que se le ha dado relevancia al tema. Y segundo, obviamente a raíz del auge que ha tenido el comercio electrónico, el uso de redes sociales de plataformas y tecnología, pues eso obliga a una circulación mayor de datos. Y también nos hemos vuelto más eficientes en el tema de investigación, sanción y registro de bases de datos, pues tenemos capacidad de detectar más fallas. Aunque hay una mejora, todavía hay situaciones que llaman la atención. Hay un número grande de organizaciones, más de 24.000, que no tienen una política adecuada de acceso remoto a la información. Esto es relevante porque ahora casi todo lo hacemos online. Y más de 20.000 no tienen una política adecuada sobre el tratamiento de información sensible. Son datos que si llegan al filtrarse o hay una falla de seguridad, puede ser riesgoso.



¿La falta de seguridad en el tema remoto puede explicar el auge de robos a través de redes?

Correcto. Hay sectores que tienen unas políticas muy eficientes del tratamiento y seguridad de información. Por ejemplo, el sector financiero que invierte para evitar ese tipo de conductas y las empresas de telecomunicaciones. Pero hay otros que no implementan esas políticas, no quieren hacer las inversiones o correctivos y no están exentas a situaciones como las que usted menciona. Cualquier persona que, por ejemplo, haga ventas a distancia y tenga información de tarjetas de crédito es susceptible a que haya una falla de seguridad.



¿A qué tipo de sanciones se enfrentan por no incorporar controles?

El estudio busca un diagnóstico, sin perjuicio de las tareas que hacemos en la inspección y vigilancia. Lo que hace la delegatura es investigar vulneración de la protección de datos. Si hay fallas, se pueden emitir órdenes, que fue el caso cuando hubo las fallas de seguridad en materia de datos de Facebook, Uber y Zoom. Hay investigaciones grandes en las que se detecta violación de la ley de habeas data o situaciones que ponen en riesgo y se les ponen esas órdenes. Si las omiten, se inicia un procedimiento y se le da un seguimiento, como solicitar una auditoría de seguridad. Pero puede haber imposición de multas y sanciones adicionales como correctivos, programas de cumplimiento. Cuando son delitos, como la suplantación o el fraude bancario, hay que denunciarlo en la Fiscalía para que se adelante un proceso penal.



