Analytics

miércoles, 16 de agosto de 2017

Por qué la SIC sanciona a empresas por incumplimiento de la Protección de Datos

Durante el año pasado, una ferviente inquietud se extendió en Colombia por la proximidad en la fecha límite para la inscripción de bases de datos de carácter personal en el Registro Nacional de Bases de Datos (RNDB) de la SIC.

La mayoría de empresas llevaron a cabo esta labor bajo una interpretación de la consecuencia de no hacerlo: si no registramos nuestras BBDD la SIC verá que no lo hemos hecho y nos inspeccionará.
La realidad no parece ser esta dado que las sanciones siguen produciéndose ante denuncias de ciudadanos y no como resultado de inspecciones de oficio. Es decir, el registro en el RNDB no parece ser una buena razón para creerse fuera de “peligro” para ser sancionado.

Analizando las sanciones del año 2016 y 2017 vemos que entre las que están en trámite o en firme tenemos catorce en el año 2016 y seis en lo que va del año 2017. Estas sanciones recayeron en dieciséis empresas y dos personas naturales expedientadas, es decir, algunas de esas sanciones fueron sobre la misma empresa.

De los dieciocho multados, nueve habían inscrito bases de datos en el RBND (esto no quiere decir que lo hicieran correctamente, pero ya lo comentaremos más adelante). Si descontamos que es más extraño las personas naturales que las declaren e incluso que sea normal que puedan tener bases de datos, siete empresas no habrían declarado sus bases de datos. Pero entonces la cuestión que se estarán haciendo es ¿y por qué fueron sancionadas esas siete empresas que tan diligentemente habían declarado sus bases de datos? Pues veámoslo.

Intentando centrarnos en el incumplimiento que desembocan en las sanciones, debemos prestar atención a cuatro artículos de la Ley 1581/2012 y a uno del Decreto 1074 de 2015 según se muestra en el gráfico siguiente:
Algo que merece especial atención y resulta, cuanto menos, curioso es que, tras cometer alguno de los errores o violaciones en el cumplimiento, quedando éste demostrado, sólo en dos casos de sentencias en firme, el sancionado reconoció la infracción, hecho que implicó la reducción de la sanción en un 25%. En ninguno de los otros se buscó una atenuación de la sanción reconociendo el error.

Para tener una idea de qué han implicado las diferentes sanciones en cantidades dinerarias, el volumen de estas (en SMLMV) el año 2016 ($689.455/SMLMV) sumó un total de 3.775 SMLMV ($2.602.692.625) y una media por sanción de 270 SMLMV aproximadamente, aunque hay que tener presente que las sanciones a personas físicas fueron las menores por lo que, eliminando estas, la media de sanciones a personas jurídicas fue de 340 SMLMV ($234.414.700) aproximadamente; en lo que llevamos de año 2017 ($737.717/SMLMV) suma ya 1.222 SMLMV ($901.490.174) con una media de 135 SMLMV aproximadamente ($100.165.575), con lo que la media de sanciones a razones sociales estos últimos 18 meses ha sido de unos 250 SMLMV ($183.212.017 en SMLMV del 2017). El detalle de la cantidad de las sanciones es el que la siguiente gráfica:

A parte de esto, comentábamos que el declarar bases de datos no quiere decir que esto lo estemos haciendo correctamente, la efervescencia tiene un problema, es llamativa, pero de corta duración, y eso es lo que a veces sucede cuando nos estresamos en ejecutar una tarea sin un estudio adecuado. De las siete empresas que comentábamos que habían declarado sus BBDD, claramente, algunas se han dejado llevar por esa efervescencia: algunas de ellas no tiene registrada ninguna base de datos de empleados por lo que, lógicamente, salta a la vista que ninguna empresa podrá funcionar sin ellos, y no podrá realizar procesos propios de cualquier empresa sin disponer de los datos personales de éstos, por lo tanto su registro de BBDD es claramente defectuoso; alguna otra tiene decenas de bases de datos, claramente asociadas a aplicaciones, no a usos, esto quiere decir que si cambiamos de la aplicación A a la B para gestionar un conjunto de datos personales, deberemos rehacer el trabajo de gestión de las BBDD; incluso, una de las sanciones, es un claro ejemplo de cómo no puede tratarse el cumplimiento de Protección de Datos como un mero asunto legal dado que el grave problema que desembocó en sanción fue debido a una deficiente implementación de medidas técnicas para la protección de la información que derivó en una publicación -cuya magnitud real pudo no haber sido identificada correctamente en el proceso investigativo- en Internet, etc.

Defectos de este tipo suelen estar asociados a no realizar un análisis previo adecuado sobre los repositorios de los datos personales de los que dispone la compañía a fin de definir las bases de datos a declarar de la forma más adecuada, no sólo para un registro, si no para el mantenimiento de la declaración y publicación de estas con una estrategia a largo plazo.

Las conclusiones que podemos extraer de este breve análisis sobre las sanciones (teniendo en cuenta que algunas de ellas todavía están en trámite y podrían sufrir cambios, incluso anularse a favor del demandado, aunque esto no resultaría muy esperable tras la revisión de todas ellas) son que:
  1. La declaración de Bases de Datos no es razón eximente en ninguna de las sanciones firmes o en trámite.
  2. Que la mayoría de sanciones se producen por el envío indiscriminado de comunicaciones comerciales, de forma abrumadora, en un período de tiempo prolongado.
  3. Que, en los casos anteriores, cuando los clientes ejercen sus derechos, las empresas no tiene realmente implantados procesos integrales de respuesta: en algunos casos se atienden las peticiones, se da respuesta tarde o de forma incorrecta, incluso se responde como si se hubiera tramitado pero los procesos internos, al ser incompletos demuestran que el trámite no ha sido realmente llevado a cabo.
  4. Que las empresas no disponían de las políticas de seguridad realmente implementadas y que los controles de seguridad y de protección de la información no eran adecuados.
  5. Que las personas encargadas de mantener la comunicación con los clientes no tienen la capacitación necesaria sobre qué se puede y no se puede hacer con la información personal, cual no debe transmitirse de forma pública o qué medios deben emplearse.
  6. Que las autorizaciones en los procesos de obtención de información (importante cuando esta se utilizara para comunicaciones publicitarias) no se custodian, requieren o notifican a los clientes de forma adecuada sobre el uso de esa información.
Claro está, no todos los errores anteriores se producen en todas las ocasiones. En algunos casos sólo se da uno de ellos, en otros, algunos más. Todo ello muestra que la implementación correcta de los requerimientos exigidos por la Ley 1581/2012, los reglamentos y otras regulaciones relacionadas, necesitan desarrollarse mediante un proceso global, holístico en toda la compañía que aborda un proyecto de este tipo, capacitando a su personal, a todo el que pueda llegar a estar involucrado en el manejo de datos personales, y, además, tener presente que ni la Ley es un asunto puramente de las áreas legales, ni lo es de seguridad de la información.

Revisando los importes medios de las sanciones de este último año y medio, podríamos hacer un ejercicio sencillo y es pensar si realmente no se podría haber realizado un proceso de adecuación y cumplimiento robusto por, digamos, el 50% de lo que supuso la media de sanción a las compañías afectadas, sin tener en cuenta el costo del proceso legal cuando éste puede extender más allá de año. Posiblemente, la respuesta sea en muchos casos afirmativa.


Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors