Como se ha señalado en varias oportunidades, la dependencia de los datos por parte de las empresas, es total, pues sin el uso de estos, simplemente el desarrollo del objeto social empresarial sería imposible. Estos, deben ser usados de manera estratégica, con el propósito de lograr las distintas finalidades de la vida empresarial: posicionamiento de marca, fidelización de clientes, prospección comercial, gestión financiera y administrativa, cumplimiento de obligaciones laborales y prestacionales, cumplimiento de obligaciones legales, entre muchas otras.
Así, el uso y circulación de la información de los clientes, prospectos, proveedores, contratistas y aún de empleados, hace parte de las actividades a desarrollar por las áreas o personas que conforman todas las micro, pequeñas y medianas empresas del país. Esto, en los términos de la Ley 1581 de 2012 implica tratamiento de datos personales, que debe darse en el marco de las garantías, estándares y requisitos contemplados para el derecho fundamental de Habeas Data.
Lo primero que debes tener claro, es que el tratamiento de datos personales de cualquier titular: prospectos, clientes, empleados, contratistas, proveedores, etc, debe darse previa autorización expresa y suficiente, que debe ser otorgada por el titular informado y con claridad acerca de sus derechos y los mecanismos puestos a disposición por la empresa para garantizarlos.
Si bien la Ley no exige que la autorización deba otorgarse por escrito, lo que permite que las empresas ideen distintos mecanismos, apoyadas en las tecnologías de la información, sí establece dicho procedimiento como un acto reglado, que debe darse en el marco del cumplimiento de una serie de requisitos y que, en cualquier caso, debe permitir validar o soportar probatoriamente el otorgamiento de la autorización.
Una vez la organización empresarial tenga reglados y adecuados jurídicamente los procedimientos a través de los cuales obtiene las autorizaciones para el tratamiento de los datos personales de sus grupos interés, deberá reglamentar los accesos y el tratamiento permitido a sus colaboradores, de conformidad con la necesidad del tratamiento, en razón a las actividades desempeñadas por este. Para el efecto, se recomienda plantearse las siguientes preguntas ¿cuáles cargos o áreas de su empresa tratan datos personales?, ¿Cuáles datos personales tratan? ¿Cuál es la necesidad de su tratamiento? ¿Cuáles son las finalidades del tratamiento? y ¿Cuáles son las modalidades en las que se da el tratamiento?
Los procedimientos de accesos, permisos y autorizaciones que su empresa está en la obligación de crear, debe corresponderse con la estructura funcional de la misma, su objeto social, las actividades que desempeña, pero también debe cumplir ciertos requisitos como la determinación de los datos que puede tratar cada empleado, sus finalidades, el régimen obligacional que debe cumplir en el tratamiento, los compromisos de confidencialidad, las medidas de seguridad que regirán ese tratamiento de datos, entre otras medidas que dependen de distintos aspectos particulares de la información personal y de la empresa.
No tener regulados los accesos, permisos y facultades que tienen los empleados de su empresa con relación a los datos personales que trata la organización, puede generar que se adelanten actividades por parte de éstos que pongan en peligro los intereses protegidos por la Ley de Habeas Data, con la consecuente posibilidad de que se inicien investigaciones y se impongan sanciones por estos hechos. En todo caso, el tratamiento entre dependencias, cargos o áreas de la empresa, debe ceñirse a los principios de seguridad, autodeterminación y circulación restringida.
¿Quieres conocer qué debe hacer tu empresa para evitar ser sancionada por la Superintendencia de Industria y Comercio?
Inscríbete aquí en nuestro Webinar Gratuito y conoce mucha más información valiosa para tí y tu empresa.