¡Cuidado empresario! Continúan las falencias en la implementación de programas de seguridad y protección de datos personales

El último informe emitido por la SIC para el año 2023, destaca la situación actual en cuanto a las medidas de seguridad implementadas por empresas y entidades públicas en el manejo de datos personales, según lo establecido por la Ley Estatutaria 1581 de 2012, que obliga a todas las organizaciones a aplicar medidas técnicas, humanas y administrativas para salvaguardar los registros, evitando cualquier acceso o uso no autorizado o fraudulento. (https://www.sic.gov.co/centro-de-publicaciones?field_global_topic_tid=7037&field_anos_p_value=All)

¿Qué podemos destacar del estudió?

El estudio se basó en los datos aportados por 34.402 entidades Responsables del Tratamiento de datos que registraron sus bases en el Registro Nacional de Bases de Datos (RNBD) entre 2015 y marzo de 2023. De estas, el 94.6% corresponden a empresas privadas y el 5.4% a entidades públicas.

A pesar de mejoras evidentes en la implementación de medidas de seguridad desde 2019 hasta marzo de 2023, el informe refleja un nivel de incumplimiento aún preocupante del 56% en comparación con las pautas establecidas. 

Si bien, se observa un aumento en la aplicación de estas medidas, el 63.65% de las organizaciones estudiadas no han implementado medidas suficientes y efectivas para asegurar la protección de los datos personales.

Así mismo, al analizar las respuestas proporcionadas por estas entidades, se revela que solo el 36.35% de los Responsables del Tratamiento han cumplido con los requisitos de seguridad indagados por la SIC en el formulario del RNBD. Esto significa que un amplio porcentaje, representando el 63.65% de empresas y entidades públicas, no ha asegurado una protección adecuada de los datos personales.

Por otro lado, el estudio identificó áreas críticas donde las organizaciones muestran deficiencias notables. Por ejemplo, más de la mitad de las entidades no han implementado políticas específicas para regular el acceso a la información sensible almacenada en sus bases de datos. 

Además, un gran porcentaje no cuenta con procedimientos de auditoría de sistemas de información que contengan datos personales, lo que indica una debilidad en el control y monitoreo de la seguridad.

Al respecto, es importante resaltar que la falta de sistemas de gestión de seguridad de la información, la ausencia de herramientas para manejar riesgos en el tratamiento de datos personales y la carencia de controles de seguridad en la tercerización de servicios, son aspectos críticos que deben abordarse urgentemente para garantizar una adecuada protección de la información sensible.

Por último, del análisis por regiones se evidenció comportamientos similares en cuanto a medidas no implementadas, con áreas como la falta de políticas para el acceso remoto a información personal mostrando una baja implementación en todas las regiones. Mientras tanto, herramientas de gestión de riesgos son uno de los elementos más implementados, indicando una mayor conciencia en esta área.

Este informe de la SIC subraya la urgencia de un enfoque más riguroso en la implementación de medidas de seguridad para asegurar la protección adecuada de los datos personales, no solo por cumplimiento normativo, sino por el respeto y la confianza generada a partir de una protección efectiva de la información sensible.
Para más contenido relacionado, los invitamos a consultar el siguiente link https://mslegal.com.co/publicaciones/