Sector salud: el menos preocupado por resguardar los datos personales de sus clientes
Según la SIC, los incumplimientos más reiterados relacionados con la violación de datos personales se refieren a habeas data financiero: reportes indebidos en centrales de riesgo, información financiera errónea e indebidamente publicada y la falta de comunicación oportuna con el deudor.
Un reciente estudio realizado por Legal Shield, en alianza con LEGIS, (desarrolladora de SpinLegal, software creado en Colombia para la gestión de bases de datos que comercializa) arrojó que las empresas del sector financiero y solidario son las más preocupadas por respaldar la información personal de sus clientes (35%); seguida por el sector educativo, principalmente universidades (25%) y, en tercer lugar, las empresas de servicios públicos (25%).
“El sector salud, a pesar de tener el mayor riesgo por la cantidad de datos sensibles que maneja, apenas alcanza el 15% en la intención a registrar y proteger la información personal de los usuarios. Este panorama se agrava aún más cuando se piensa en las enormes pérdidas que deja la cibercriminalidad en el país y cuya cifra ya supera los US$600 millones al año, hecho que no exime a los empresarios de hacer el debido manejo de datos según lo estipula la ley”, comenta Juan Pablo Moncada, gerente de Legal Shield.
¿Pagaría usted dos mil (2.000) salarios mínimos mensuales legales vigentes por no proteger los datos de sus clientes?
Linio, Falabella, Banco de Occidente, Codensa, Colmédica, incluso el ICETEX, hacen parte de las empresas que han sido sancionadas por infringir la Ley 1266 de 2008 y la Ley 1581 de 2012, normas que establecen obligaciones frente al manejo de datos personales. Como ya lo mencionamos, la multa máxima que se puede imponer es hasta dos mil (2.000) salarios mínimos mensuales legales vigentes y tenga en cuenta este dato, ya una vez se impuso una por alrededor a los 1.000 millones de pesos a la compañía de medicina prepagada citada. De hecho, los montos de las sanciones, desde el año 2010, superan los $21 mil millones de pesos en más de 600 procesos relacionados con el incumplimiento a las normas de protección de datos.
Aunque ya los empresarios están más relajados por la suspensión de la fecha máxima para realizar el registro de las bases de datos ante la Superintendencia de Industria y Comercio (SIC), que fue movida hasta Enero de 2018, la cifra nacional es muy desalentadora: menos del 27% del total de las empresas del país, de cualquier sector, han cumplido con este requerimiento. Cabe destacar que esta nueva movida de fechas no lo exime por ejemplo de un mal manejo de bases de datos, por las que, hoy en día puede ser multado.
Derechos y deberes
Tenga en cuenta que, como ciudadano, tiene derecho a informarse y protegerse haciendo una solicitud directamente a cualquier empresa que considere esté violando su privacidad. Durante un plazo establecido por la ley (10 días para consultas y 15 para reclamos), dicha compañía debe dar respuesta en cuestión. De no hacerlo, usted podría acercarse a la SIC y presentar una denuncia (también puede hacerlo por la página web), por ejemplo, si está cansado de recibir correo publicitario no deseado o si lo llaman de ciertas entidades para ofrecerle productos o servicios no solicitados.
Como empresario debe tener en cuenta que el riesgo no sólo está en no reportar sus datos o en reportarlos de una manera errada. Las fallas en la seguridad de la información que dan lugar a la divulgación de los datos en Internet, incluso datos sensibles y el hurto o pérdida de la información contenida en bases de datos, podría poner en grave peligro el capital de su empresa. De hecho, un informe elaborado por General Data Protection Regulation (GDPR) sostiene que casi la mitad de las organizaciones (48%) no tienen visibilidad total de los incidentes de pérdidas de datos personales.
Sumado a esto, otro reciente estudio del Instituto Ponemon e IBM Security sostiene que el costo para una empresa de cada registro perdido o robado que contenga información confidencial sobrepasa los 141 dólares por registro. Además, por séptimo año consecutivo, el sector de la salud encabeza también la lista de industrias en las que las pérdidas de datos médicos son las más costosas para las organizaciones (unos 380 dólares por registro, 2,5 veces más que la media global de otros sectores). Agrega que los ataques por código malicioso son los más costosos: 47% de las brechas de seguridad son causadas por estos y generan un costo de 156 dólares por registro.
Soluciones tecnológicas
Hoy en día existen herramientas SaaS (Software as a Service) que ayudan a las empresas a gestionar de manera correcta sus bases de datos y hacer todo el proceso de registro ante la SIC. Según Legis y el gerente de Legal Shield, aunque Colombia es uno de los países que más avances ha logrado en materia legislativa, sólo comparable con Chile y Argentina que se consideran pioneros en estos temas, en el país seguimos fallando en:
- Errores de recolección: Las empresas no recolectan correctamente los datos personales, es decir, no solicitan autorización al titular; o, recolectan los datos y los utilizan para otras finalidades distintas a las que informaron al titular.
- Ausencia de organización en la designación y consolidación del Oficial de Protección de Datos Personales: Frente a este hecho se requiere un mayor interés por parte de las empresas, en llevar a cabo una definición clara de las funciones y el Plan de Trabajo del Oficial (cargo que debe existir al interior de cada empresa) de tal manera que este se encuentre en la capacidad de velar por la implementación y control del Programa Integral de Datos Personales.
- Ausencia de gobierno de la información: Si bien los empresarios están conscientes de que hoy en día el activo número uno es la información, sigue destinando muy pocos recursos para la protección de la misma.
Legal Shield, en alianza con LEGIS