La Superintendencia de Industria y Comercio realizó el segundo estudio anual sobre las medidas de seguridad que han implementado las 33.596 empresas y entidades públicas, que han registrado sus bases en el Registro Nacional de bases de Datos, para la recolección, almacenamiento uso, circulación o tratamiento de datos personales.
Uno de los hallazgos más preocupantes del estudio es que 24.424 organizaciones públicas y privadas no han puesto en marcha una política de protección para el acceso remoto a la información personal, es decir, no cuenta con mecanismos eficientes para proteger los datos de sus usuarios de accesos no autorizados o incidentes de seguridad.
Además, se encontró que 20.594 empresas no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible, es decir, no cuentan con las medidas necesarias para proteger los datos sensibles.
Al comparar los resultados del más reciente estudio con los de 2019, en términos generales, se encontró una mejoría del 12,73 % en el nivel promedio de cumplimiento de medidas de seguridad. No obstante, persiste un alto nivel de incumplimiento respecto a los temas evaluados.
El superintendente de Industria y Comercio, Andrés Barreto, reiteró la importancia de cumplir la Ley de Protección de Datos, pues indicó que “las entidades deben cumplir la Ley, especialmente en materia de seguridad, ya que sin esto será muy difícil tener la confianza de los ciudadanos, además que al tener problemas de seguridad también se pueden afectar los intereses de las empresas. En la SIC hay diferentes guías y herramientas que les ayudarán para que mejoren sus estándares de seguridad”, expresó.
La medición de este año halló los siguientes resultados:
- Número de organizaciones evaluadas: 33.596
- No tienen una política de protección para acceso remoto a la información personal: 72,7 %
- No cuenta con mecanismos de monitoreo de consulta de las bases de datos: 69,3 %
- No ha implementado un procedimiento de auditoría de los sistemas de información: 71,3 %
- No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos: 67,5 %
- No ha implementado medidas especiales para proteger datos sensibles: 61,3 %
- No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: 66.1 %
- No tiene política de auditoria de seguridad de la información: 63,6 %
- No tiene controles de seguridad en la tercerización de servicios para el tratamiento de datos: 61 %
- No implementa medidas apropiadas y efectivas de seguridad: 50,7 %
- No cuenta con herramientas de gestión de datos: 46,9 %
- No tiene políticas y procedimientos de gestión de incidentes de seguridad: 52,6 %
- Promedio de incumplimiento respecto de los ítems evaluados: 62,3 %
Las conclusiones surgen de la información suministrada por 33.596 organizaciones responsables del tratamiento de datos que registraron sus bases de datos en la entidad desde el año 2015 hasta el 30 de septiembre de 2020.
De estas, 31.333 son empresas privadas (93,3 %) y 2.263 entidades públicas (6,7 %). La SIC realizó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización responsable del tratamiento (empresa o entidad pública) solo debía manifestar Sí o No.
Para la experta en protección de datos de la firma MS Legal, Carolina González, es claro que el incremento de las quejas en este sentido presentadas ante la Superintendencia de Industria y Comercio ha dejado en evidencia la importancia y el valor que los titulares le están dando a sus datos, así como las implicaciones que puede generar la inobservancia de la norma que regula su tratamiento por parte de las empresas.
“La administración y manejo de datos personales no veraces, sin autorización de su titular, y la no atención de los reclamos recibidos en relación con la ley general de datos personales y la de habeas data financiero, han sido las principales razones por las cuales la SIC impuso multas por más de $7.500 millones a empresas de diferentes sectores durante 2020″, señaló la experta.
Según los registros de la Superintendencia, cerca de 60 empresas fueron sancionadas el año pasado por no cumplir con la normativa relacionada a la Ley de habeas data financiero y la Ley general de protección de datos.