¿Tu empresa trata datos personales en calidad de Responsable o Encargado? Esta es la pregunta que deben hacerse gerentes, administradores, oficiales de protección de datos personales y en general, las personas que tienen a su cargo el cumplimiento de las obligaciones legales dentro de las distintas empresas. Por el contrario, la pregunta que hoy se hacen en la mayoría de empresas, es si están o no obligadas a cumplir la Ley 1581 de 2012 y sus disposiciones reglamentarias, pregunta que tuvimos la oportunidad de resolver en una entrada previa de este blog, en la que explicamos porqué todas las empresas de Colombia están obligadas a cumplir estas disposiciones.
Todas las empresas, sin excepción, en mayor o menor medida tratan datos personales para el desarrollo de las actividades que constituyen su objeto social y en tal sentido deben cumplir todas las obligaciones establecidas en el Régimen de Protección de Datos Personales. El tratamiento de datos personales puede darse en dos calidades, como: (i) Responsable o (ii) Encargado.
El Responsable del tratamiento, es aquella persona natural o jurídica que por sí misma o en asocio con otras (grupos empresariales) decide los medios y finalidades del tratamiento, es decir cómo y para qué se van a tratar los datos personales. Es decir, los responsables del tratamiento, usan, circulan, modifican y en general tratan los datos personales de la manera que mejor lo consideren con el fin de lograr el efectivo desarrollo de su objeto social. El encargado, por su parte, trata los datos personales no según su criterio o por su propia cuenta, sino por cuenta del responsable y bajo la dirección y coordinación de éste y normalmente para prestarle a este un servicio determinado.
Estas figuras jurídicas tienen relevancia en la medida en que la Ley 1581 de 2012 establece diferentes deberes atendiendo a la calidad en la que se efectúa el tratamiento de los datos personales. Si tu empresa trata datos personales en calidad de responsable, deberá someterse a lo preceptuado en el artículo 17 de la Ley, pero si trata los datos personales en calidad de encargado, será el artículo 18 de la misma disposición el que determine las obligaciones a cumplir.
Si bien los principios y las obligaciones a cumplir por las empresas son las mismas, debes tener especial atención en analizar si tu empresa actúa en una u otra calidad o en ambas, con el fin de diseñar los procedimientos necesarios que le permitan cumplir con las exigencias en uno u otro caso.
La mayoría de empresas, por regla general, tratan los datos personales en calidad de responsables. No obstante, eventualmente, pueden adelantar operaciones o actividades empresariales que impliquen la transmisión de datos personales y, en consecuencia, el tratamiento de datos personales en calidad de encargados.
Estas categorías jurídicas están directamente relacionadas con instrumentos como contratos de transmisión y transferencia, registro nacional de bases de datos, declaraciones de conformidad, manual de procedimientos, políticas internas efectivas, entre otras que tu empresa debe conocer, desarrollar e implementar en el giro ordinario de sus actividades.
¿Quieres conocer qué debe hacer tu empresa para evitar ser sancionada por la Superintendencia de Industria y Comercio? Inscríbete aquí en nuestro Webinar Gratuito y conoce mucha más información valiosa para tí y tu empresa.