Por: Nelson Remolina Angarita. Profesor Asociado y Director del GECTI http://www.gecti.org/de la Facultad de Derecho de la Universidad de los Andes. nremolin@uniandes.edu.co
Como es sabido, el 16 de diciembre de 2010 el Congreso de la República de Colombia aprobó el Proyecto de ley estatutaria No.184 de 2010 Senado, 046 de 2010 ”por el cual se dictan disposiciones generales para la protección de datos personales“. Para que se convierta en ley aún falta la sanción presidencial correspondiente, la cual se ha demorado porque la Corte Constitucional gastó más de nueve (9) meses redactando el texto de la sentencia que anunció el 6 de octubre de 2011.
El pasado 25 de julio de 2012, la Corte publicó el texto de la sentencia C-748 del 6 de octubre de 2011. En dicha sentencia existen muchas modulaciones y cuatro salvamentos de votos sobre la decisión adoptada. Esto nos indica que la nueva ley deberá leerse de manera conjunta y armónica con la sentencia C-748 de 2011, tal y como sucedió con la ley 1266 de 2008.
La experiencia de la aplicación de la ley 1266 de 2008 ha demostrado que algunas organizaciones no se dieron cuenta de las implicaciones de la misma y por eso fueron objeto de múltiples investigaciones y sanciones. En efecto, el número de quejas, investigaciones, sanciones y visitas de la Superintendencia de Industria y Comercio viene aumentando significativamente cada año. De 2009 a junio de 2012, la SIC recibió 5117 quejas, abrió 1000 investigaciones, realizó 41 visitas a empresas e impuso 282 multas por un valor total de $3.758´967.750.
El número de sanciones y el monto de las mismas debería ser un dato relevante con miras a que las empresas revisen y reformulen la gestión interna y externa respecto del tratamiento de los datos personales de sus clientes, empleados y terceros. Un tratamiento indebido de datos no sólo implica perder tiempo y dinero pagando multas sino que pone en riesgo en buen nombre de las organizaciones (riesgo reputacional).
La entrada en vigencia de la futura ley general de protección de datos trae muchas obligaciones y retos para las empresas. El artículo 32 prevé un régimen de transición para que las personas naturales y jurídicas que traten datos personales o ejerzan alguna de las actividades reguladas en esa ley se adecuen a la misma en un plazo máximo de seis (6) meses a partir de su expedición.
Un correcto aprovechamiento del período de transición hará que las empresas maximicen el uso de sus sistemas de información y no asuman riesgos de tipo penal, administrativo, constitucional, reputacional y económico debido a infracciones a la ley general de protección de datos personales.