El pasado 17 de enero, el Superintendente de Industria y Comercio (encargado), Juan Camilo Durán Téllez, posesionó a Cristina Rodríguez Corzo como delegada para la Protección de Datos Personales.
La Delegada Cristina Rodríguez Corzo es Abogada de la Universidad del Rosario, magister en derecho privado de la Universidad de los Andes y especialista en Derecho Comercial de la misma universidad. Cuenta con experiencia en la práctica privada trabajando como Abogada para algunos Despachos jurídicos y empresas del Sector Privado. Ha estado vinculada con la Superintendencia de Industria y Comercio como Abogada de Asuntos Internacionales de la Delegatura de Protección al Consumidor desde el 2015 y en el último año se venía desempeñando como Coordinadora de Asuntos Internacionales en la entidad.
Con esta nueva designación, será la encargada de liderar la vigilancia y supervisión de las entidades públicas y privadas, para garantizar que respeten los principios, derechos y garantías en el tratamiento de los datos personales regulados en la Ley 1581 de 2012 y, en lo pertinente, en la Ley 1266 de 2008.
La Delegatura de Protección de Datos Personales tiene varios retos por delante. Entre ellos, se enfrentará a grandes desafíos relacionados con las amenazas y los nuevos ataques de delitos informáticos con grados crecientes de sofisticación, y su inminente necesidad de intervención para fortalecer los planes preventivos de seguridad digital y consolidación de la ciberseguridad.
Otro gran reto está relacionado con el objetivo de transformación digital que hace parte de la agenda del país y que se han trazado muchas empresas en el país, quienes han puesto sus ojos en la inteligencia artificial (IA) como una de las áreas tecnológicas con mayor proyección económica en el corto y mediano plazo, lo que supone desafíos para garantizar los derechos de los Titulares al habeas data.
También se ha visto la necesidad de que la Autoridad dé lineamientos más claros y específicos sobre la regulación del consentimiento de parte de menores de edad, que se alineen con la digitalización de la sociedad, la realidad ineludible de la interacción de los menores de edad con la tecnología, el metaverso y otros desarrollos por venir.
Finalmente, la Delegatura deberá continuar alineándose con el acuerdo recientemente firmado por los países miembros de la OCDE sobre flujos transfronterizos de datos.
Desde Vanegas Morales Consultores, le deseamos muchos éxitos en su gestión a la nueva Superintendente Delegada para la Protección de Datos Personales.
Tras haber incumplido con las obligaciones de transparencia que el Reglamento Europeo de Protección de Datos (GDPR), la DPC, autoridad de datos personales de la República de Irlanda, sancionó nuevamente a Meta en enero de este año, esta vez con tres sanciones que suman 395,5 millones de euros.
El primer conjunto de sanciones por 390 millones de euros (210 contra Facebook y 180 contra Instagram) surge como consecuencia de los fundamentos legales que ha usado para soportar sus prácticas de publicidad dirigida (conocida también como publicidad personalizada), y la DPC le dio un plazo de tres meses para alinear estas prácticas al GDPR. Hasta ahora, Meta había incluido la publicidad dirigida como parte de su contrato y términos de servicio con los usuarios, como si la publicidad dirigida fuera una parte esencial de la prestación del servicio, con lo cual todos los usuarios tenían que aceptarla forzosamente al aceptar los términos de uso.
Sin embargo, la DPC argumentó que, si bien es evidente que el procesamiento de datos personales es una parte esencial de los términos de uso de Facebook e IG, la publicidad dirigida o publicidad personalizada no es una parte esencial de la prestación del servicio, aun cuando haga parte importante del modelo de negocio de Meta, con lo cual la aceptación de la publicidad dirigida por vía de contrato es violatoria del GDPR.
De igual manera, el 19 de enero de este año la DPC sancionó nuevamente a Meta con 5,5 millones de euros por cuanto su compañía Whatsapp, no permitía a sus usuarios tener suficiente claridad sobre qué clase de tratamiento al que estaban sujetos sus datos personales, para qué se recopilaban, ni cuál de las 6 bases contempladas por el GDPR era la base legal sobre la que se soportaban para hacerlo. Además, la DPC encontró también como motivo de sanción el hecho que Whatsapp obligara a sus usuarios a consentir al tratamiento de sus datos para usar su aplicación, por cuanto consideró que esto era una afrenta a la libertad de expresión e información.
Los argumentos de la DPA que sustentan estas sanciones pueden ser vistas como un nuevo giro en favor de los usuarios. Hasta ahora, el hecho de que servicios gratuitos como son los ofrecidos por Meta tuvieran de cierta forma una contraprestación como la aceptación del usuario de recibir publicidad personalizada, no había sido abiertamente controvertidos. Ahora, Meta se ve enfrentado al reto de incluir la opción para todos los usuarios de que acepten o no el tratamiento de sus datos personales con fines de publicidad personalizada como contraprestación por el servicio de las redes sociales, lo cual, además, impone retos importantes para el modelo de negocio de Meta.
El 28 de enero se celebra el día Internacional de la Protección de Datos, que busca dar a conocer a las personas la existencia de este derecho e instar a las corporaciones privadas y públicas a cumplir con las regulaciones, fortalecer sus medidas de seguridad y comprometerse con la protección del derecho de habeas data.
¿Por qué el 28 de enero?, en 1981 se firmó el Convenio 108 del Consejo de Europa, con el fin de garantizar, en los países miembros, el respeto por el derecho a la vida privada en lo relacionado con el tratamiento de los datos de carácter personal y este día ha sido festejado desde el 2006 por decisión del Consejo de Europa y la Comisión Europea.
En Colombia este derecho fundamental está consagrado en el artículo 15 de la Constitución Política, que universalmente se traduce en que a toda persona se le debe: i) garantizar que sus datos de carácter personal son protegidos y manejados con privacidad; ii) derecho a decidir quién puede tener información personal suya, iii) conocer quién la solicita, qué clase de data tienen, cómo cambiarla o eliminarla y con qué fin se usa.
Tanto en Europa como en América Latina, desde la semana pasada se está conmemorando el Día Mundial de la Protección de Datos con numerosos eventos virtuales y presenciales, publicaciones y campañas para hacer un llamado a la unión de las naciones para el refuerzo y la estandarización de posiciones y normativas que protejan a las personas y a la generación de conciencia en las mismas, sobre la existencia de este derecho de conocer, actualizar y rectificar la información que se haya recogido por diferentes medios digitales y físicos, especialmente, frente a los nuevos contextos de transformación tecnológica y prevención de la delincuencia.
Vanegas Morales Consultores, como miembro activo de la Asociación Colombiana de Datos y Privacidad – ADAPRI, conmemora esta fecha especial con un evento conjunto con Asobancaria, en el que se abordarán temas de suplantación de identidad, IA, herramientas predictivas y nuevas tecnologías. Podrá encontrar más información de este evento en las redes sociales de VMC o en las de ADAPRI.
El pasado 12 de diciembre, los Estados miembros de la OCDE (entre los que está Colombia) y a la Unión Europea, adoptaron un acuerdo con el fin de proteger la privacidad en el acceso a datos policiales y de seguridad nacional.
El acuerdo se centró alrededor de tres ejes principales: 1) las circunstancias de acceso legítimo de los gobiernos a datos personales de titulares sobre la base de valores comunes; 2) promover la confianza en los flujos de datos transfronterizos, y 3) los principios rectores del acceso de los gobiernos a los datos personales en poder de entidades del sector privado.
En cuanto al primer eje, los países parte del acuerdo convinieron rechazar cualquier tipo de acceso por parte suya a las bases de datos personales en poder de los privados con fines incompatibles a los valores de la democracia, a las leyes del Estado y al principio de proporcionalidad. Esto, con el fin de limitarse como Estados y así, evitar cualquier tipo de comportamiento arbitrario, excesivo o desproporcionado. Ahora bien, los Estados fueron enfáticos en recalcar que el acceso a los datos personales en manos de privados, estaría legitimado siempre y cuando la intención detrás de dicho acceso estuviera en armonía con los valores democráticos, y siempre teniendo en cuenta la privacidad de los titulares de los datos y en consecuencia, sus derechos humanos.
Con respecto al segundo eje, los países miembros reconocieron que, en los escenarios de intercambios de datos entre los Estados miembros, el hacer parte del convenio daba un parte de tranquilidad por la aplicación de los principios rectores del mismo en el tratamiento de los datos personales de sus ciudadanos.
Por último, y en relación con el tercer eje, los Estados parte del convenio establecieron varios principios rectores para el tratamiento de datos. Uno de los más importantes es el de objetivos legítimos que señala la importancia de que exista una intención legítima por parte de los Estados para acceder a los datos personales de los ciudadanos. En consecuencia, los Estados no pueden acceder a los datos de los particulares con la finalidad de reprimir, dificultar la crítica o la disidencia de opinión hacia el gobierno de turno, o perjudicar a las personas con base en características como raza, orientación sexual, afiliación religiosa entre otros. A su vez, los países convinieron en destacar la gran importancia que existía respecto del cumplimiento del principio de supervisión, según el cual los países debían contar con mecanismos propios para supervisar la propia actividad del Estado en el acceso de los datos personales de los ciudadanos. Finalmente, y en el último punto del acuerdo, los países consignaron el principio de reparación, según el cual todo ciudadano que considere que, en el tratamiento de sus datos, le han sido violentados sus derechos, puede buscar ya sea por vía judicial o extrajudicial que dichos datos se supriman, se reestablezcan íntegramente o que el acceso a ellos cese, mediando siempre la seguridad nacional y el mantenimiento del orden público.
Según información publicada en internet y el comunicado de prensa publicado por la empresa, se ha podido establecer que un grupo conocido como Ramsomhouse habría sido el responsable de realizar un hackeo el pasado 26 de noviembre a las empresas del grupo Keralty y haber expuesto los datos de casi un millón de usuarios de Sanitas, lo que llevó a la compañía a tomar la decisión de activar sus protocolos de seguridad informática y deshabilitar sus servicios digitales para proteger la información de su organización y la de sus usuarios.
Además, en el último mes aparentemente hubo una nueva filtración de datos de los usuarios de Sanitas que no estaría relacionada con el hackeo, pues según se ha informado, los datos personales expuestos de manera pública sin medidas de seguridad serían los de nuevos afiliados, y se habrían identificado en la internet, por la tendencia actual de algunas personas de buscar “buckets” sin seguridad, es decir contenedores de objetos, que pueden ser archivos o metadatos que describan los archivos.
Según el Ministerio de las Tecnologías de la Información y las Comunicaciones (MinTIC) en el 2022 se recibieron 36 reportes de ataques cibernéticos en Colombia, siendo el de Sanitas uno de ellos.
Lo anterior, representa un cambio en el entorno cibernético. La implementación de amenazas más sofisticadas y peligrosas para las empresas, hace que la ciberseguridad y protección de datos sea una preocupación clave y por lo tanto el riesgo más importante a gestionar, haciendo necesaria la implementación de elementos cibernéticos y físicos que puedan actuar como un sistema de alerta temprana para detectar y responder rápidamente a estos ataques para así mitigar los impactos generados y poder reanudar la operación o la prestación de los servicios.
Si bien, el crecimiento exponencial de los ataques cibernéticos e intentos de estos es un tema que debe preocuparnos, es importante evitar caer en la desinformación, tarea que no es para nada sencilla, debido a que normalmente no somos conscientes que el contenido de muchas noticias es falso y no tomamos las medidas protectoras necesarias. Por lo anterior, es importante ser críticos con la información, los medios, las redes sociales y por sobre todo implementar buenas prácticas en la gestión de ciberseguridad en nuestras compañías y vida diaria.
Como firma, Vanegas Morales Consultores se unió a Privacy Rules en el 2019, una red global de expertos en privacidad de datos que, a través de la coordinación permanente de los profesionales que la conforman, provee información actualizada y herramientas para gestionar exitosamente el cumplimiento de las normativas en materia de privacidad, lo que le permite conocer de primera mano los cambios y novedades mundiales en materia de privacidad de datos y contar con un esquema que le permita a las compañías atender incidentes de seguridad en distintas jurisdicciones en el mundo, siendo el aliado perfecto para diseñar estrategias actualizadas de ciberseguridad para su compañía.
