¿Qué hacer en mi copropiedad para evitar las sanciones de la SIC?
Durante estos últimos años hemos visto varios casos en los que, la Superintendencia de Industria y Comercio sancionó copropiedades comerciales y residenciales por incumplimiento del régimen general de protección de datos personales en Colombia (Ley 1581 de 2012). En uno de los más recientes, además de la correspondiente orden administrativa, la autoridad impuso una multa de aproximadamente 125 millones de pesos a la copropiedad. Teniendo en cuenta el gran impacto que puede tener esto en el bolsillo de los propietarios, la pregunta es entonces ¿qué puede hacer el administrador y el consejo de administración para dar cumplimiento a la ley y evitar este tipo de sanciones?
Cualquier error, inexactitud u omisión en este artículo puede reportarlo a través de nuestro formulario de contacto.
Primero: Ser conscientes que las copropiedades SÍ deben cumplir con el régimen general de protección de datos personales.
En el sector de la propiedad horizontal y de las PyMES se ha generado confusión respecto al deber de cumplir con el régimen de Habeas Data. Principalmente, debido a que la SIC decidió eliminar la obligación de el Registro de Bases de Datos para gran parte de las organizaciones en estos segmentos. Esto ha hecho, que muchos administradores y gerentes se olviden que el cumplimiento de la Ley 1581 de 2012 va mucho más allá del trámite del RNBD, y que todo aquel que trate datos personales tiene la obligación legal de garantizar el respeto de los principios enunciados en dicha ley. Por lo anterior, lo primero que se tiene que hacer es generar conciencia dentro de la administración y los copropietarios que el deber persiste y que la copropiedad debe adelantar un trabajo para atender a sus deberes legales en el respeto del derecho de Habeas Data.
Segundo: Tener un inventario de los datos personales y bases de datos que se manejan en la copropiedad.
El segundo paso tiene como objetivo lograr que la copropiedad tenga claridad sobre qué datos recolecta, cómo están clasificados frente a la normativa (públicos, privados, semiprivados, sensibles), cómo utiliza esta información y con qué propósito, dónde los almacena y por último con quién comparte estos datos. En gran medida, las sanciones de la SIC han sido producto de un desconocimiento de la normativa y la recolección excesiva y no autorizada de datos, que luego de un análisis juicioso son en muchos casos innecesarios para las copropiedades. En este punto, recomendamos prestar especial atención a los sistemas de registro y control de visitantes y a los sistemas de videovigilancia, pues es común que en estos se recolecten y almacenen datos sensibles (fotografías, huellas, etc).
Tercero: Documentar una política de tratamiento de datos basada en la normatividad vigente y cumplirla.
Los dos documentos que constituyen el eje central para el cumplimiento del régimen de protección de datos personales, son la política de tratamiento de datos (o política de privacidad) y el aviso de privacidad. Sobre estos documentos se estructuran los principios que regirán las actividades de tratamiento de datos y a través de ellos se informa a los titulares qué se va a hacer con su información. Esta es entonces la base sobre la que los titulares deciden otorgar o no la autorización para el uso de su información.
Acá es importante hacer claridad que aunque en Internet y en la misma página de la SIC se encuentran modelos para elaborar estos documentos, es importante que cada copropiedad ajuste su contenido de acuerdo a sus características y necesidades particulares. La política deberá ser lo más clara posible y deberá estar actualizada según la realidad de la copropiedad. Y además, es necesario que lo consignado en estos documentos, esté respaldado por un conjunto de procesos funcionales para atender a los titulares.
Cuarto: Capacitar a los funcionarios de la copropiedad.
Este es un punto que muchas copropiedades y empresas de administración han olvidado. Es necesario capacitar a todos los funcionarios incluyendo administradores, auxiliares, contadores, recepcionistas, vigilantes, etc, y darles a conocer la importancia de este tema y su responsabilidad dentro del cumplimiento. El personal que trabaja en la copropiedad es el primer canal de atención a los titulares y deben poder estar en capacidad de explicar la política de tratamiento, en particular el uso que se da a sus datos personales y los canales de atención dispuestos para la atención de reclamaciones.
Quinto: Definir lineamientos, controles y procedimientos que garanticen la seguridad de la información.
Este es el punto que requiere más trabajo y que puede ser más largo de implementar en una copropiedad. Partimos de que la ley 1581 define dentro de sus principios rectores temas asociados a la seguridad de la información, la confidencialidad y la circulación restringida. Para garantizar esto es necesario asegurar que los datos personales son accedidos y utilizados únicamente por quienes están autorizados y para las finalidades especificadas. Acá es necesario implementar desde controles simples como Acuerdos o Cláusulas de Confidencialidad con trabajadores y contratistas, hasta soluciones más avanzadas a nivel técnico como Cifrado de la información en reposo y en tránsito.
La clave en este punto, es que las copropiedades hagan un análisis de sus riesgos a nivel de seguridad de la información, tomando como base la información resultante del paso número 2 descrito en este artículo. Dependiendo del tipo de información que se maneje y de las amenazas identificadas (p.ej. modificación o divulgación no autorizada, robo o pérdida de datos), se deben definir controles técnicos y administrativos que ayuden a mitigar o eliminar el riesgo asociado.
En resumen, el trabajo que se debe hacer no es sencillo, pero si resulta de gran importancia para que los residentes y visitantes estén tranquilos de que sus datos personales están salvaguardados en su copropiedad.