Circular Externa No.003 de 2024: Obligaciones y responsabilidad de los administradores en el tratamiento de datos

La Superintendencia de Industria y Comercio de Colombia (SIC) a través de la Circular Externa No. 003 del 19 de junio de 2024, establece lineamientos para el tratamiento de datos personales por parte de administradores y el principio de responsabilidad demostrada que deben aplicar.

La Superintendencia de Industria y Comercio a través de la Circular Externa No. 003 de 2024, estableció lineamientos clave para el manejo de datos personales por parte de los administradores societarios. La Circular destaca la corresponsabilidad para los administradores y los lineamientos para garantizar el cumplimiento normativo.

Posición frente los administradores societarios

La SIC menciona en la circular el principio de corresponsabilidad para administradores en el tratamiento de datos personales. Esto implica que los administradores deben ser activos en garantizar el cumplimiento normativo en el tratamiento de datos personales.

Los administradores deben estar directamente involucrados en la implementación y monitoreo de los sistemas de seguridad, asegurando que la gestión de datos se realice de manera correcta y transparente. 

Responsabilidad demostrada: No es solo cumplir, es demostrarlo.

La circular habla del principio de Responsabilidad Demostrada, que significa que no basta con cumplir formalmente las obligaciones como el Registro Nacional de Bases de Datos – RNBD, sino que es necesario que las entidades puedan tener soportes para demostrar que han adoptado medidas de protección efectivas y de manera activa para el cumplimiento normativo continuo.

¿Realmente los administradores societarios son responsables?

Aunque la circular menciona la corresponsabilidad de los administradores societarios en el tratamiento de datos personales, es fundamental aclarar que la responsabilidad principal recae en la empresa como entidad jurídica. Es la empresa quien define los fines y medios del tratamiento de los datos, mientras que el administrador se encarga de gestionar los temas en general de la compañía.

El administrador solo sería responsable si incumple sus deberes y utiliza los datos para fines no autorizados. Sin embargo, no se le considera corresponsable junto con la empresa en la toma de decisiones sobre el tratamiento.

Recomendaciones de la circular.

La circular resalta medidas para el cumplimiento normativo en el tratamiento de datos. La SIC recomienda establecer políticas internas efectivas, con constante revisión y adaptación respecto a los cambios normativos y tecnológicos. Estas políticas deben ser auditadas tanto interna como externamente.

Además, es esencial que los administradores de datos cuenten con mecanismos internos sólidos que incluyan responsables designados para el tratamiento de datos y un manual de políticas actualizado. También debe haber mecanismos para garantizar la revisión y cumplimiento continuo de estas políticas.

Finalmente, en proyectos que impliquen el tratamiento de datos personales es necesario realizar estudios de impacto de privacidad (PIA) para identificar riesgos y proponer medidas de mitigación. Asimismo, un sistema robusto de gestión de riesgos es clave para identificar vulnerabilidades y aplicar respuestas adecuadas ante incidentes de seguridad, fortaleciendo continuamente las medidas de protección de la información.

Esta circular va de la mano con también reciente Circular Externa No. 002 de la SIC sobre lineamientos para sistemas IA. Ambas circulares resaltan obligaciones tanto para el responsable como para los administradores de bases de datos.

Para mayor contenido relacionado lo invitamos a visitar: https://mslegal.com.co/circular-externa-004-de-2024-al-esquema-de-finanzas-abiertas/