Protección de datos personales: ¿lo estamos haciendo bien?

El cumplimiento en protección de datos personales adquiere cada vez más relevancia. Según cifras expuestas en el XII Congreso Internacional de Protección de Datos Personales se indicó que las multas pasaron de 4.932 millones en 2023 a 5.157 millones en lo corrido de este año. Esto refleja una realidad, y es que las obligaciones en la materia no se pueden tomar a la ligera.

Uno de los puntos más sensibles sigue siendo la autorización de los titulares y el ejercicio efectivo de sus derechos, así como la interpretación adecuada de las excepciones que prevé la ley.

Un ejemplo reciente es la confirmación de la sanción impuesta por la Superintendencia de Industria y Comercio a Risks International S.A.S., por la creación de bases de datos con información potencialmente negativa de cientos de titulares en procesos de debida diligencia. Aunque la empresa alegó que lo hacía para facilitar el cumplimiento de normas de seguridad nacional y de prevención de Lavado de Activos y Financiación del Terrorismo (LA/FT), la autoridad impuso una multa de $190.547.400 y la suspensión temporal del tratamiento de datos.

La autoridad señaló que la excepción del artículo 2 de la Ley 1581 de 2012 de no contar con la autorización del titular para el monitoreo y control de LA/FT solo corresponde a entidades públicas en ejercicio de sus funciones. Esto significa que en el ámbito privado aplica la regla general de contar con autorización previa, expresa e informada, aún para el cumplimiento de obligaciones en materia de LA/FT.

Por ende, las empresas deben propender por un verdadero poder de decisión del titular de los datos. No se trata únicamente de cumplir con un aviso de privacidad o suponer excepciones, sino de brindar información clara, tener procesos definidos y responsables asignados para garantizar sus derechos.

El incumplimiento no solo genera sanciones jurídicas, también puede tener efectos adversos comerciales y en la continuidad operativa con ocasión de, por ejemplo, la suspensión del uso de una base de datos por no contar con la autorización correspondiente. A ello se suma el riesgo reputacional de cara a los consumidores. Además, en la era de la tecnología y la información, se busca que los actores del mercado garanticen seguridad y claridad en este ámbito.

En el Congreso citado se presentó un proyecto de modificación de la Ley 1581 de 2012, con el objetivo de regular, entre otros, aspectos como el uso de inteligencia artificial, big data y obligaciones transfronterizas. Un aspecto relevante es que la iniciativa plantea mayor precisión sobre las bases que legitiman el tratamiento de datos y refuerza la transparencia frente a los titulares.

Para las empresas, este escenario representa tanto un reto como una oportunidad que pueden asumir desde hoy. El reto consiste en lograr que los procesos, la documentación, la tecnología y la cultura organizacional sean coherentes con la protección de datos personales. La oportunidad, en cambio, está en diferenciarse construyendo un sistema que ubique al titular en el centro y refuerce la confianza en cada interacción. Por eso vale la pena preguntarnos: ¿lo estamos haciendo bien?