En el último año, la Superintendencia de Industria y Comercio (SIC) ha intensificado su vigilancia sobre la tercerización del tratamiento de datos personales. Más de 101 investigaciones derivaron en multas superiores a $5.157 millones, evidenciando fallas tanto de los responsables del tratamiento como de los encargados contratados.

¿Cuáles errores son las más frecuentes de parte de los responsables?

• La SIC ha encontrado contratos, incompletos o ambiguos, en los que se delega el tratamiento sin establecer cláusulas claras sobre seguridad, confidencialidad y supresión de datos.

• También se ha evidenciado ausencia de mecanismos de auditoría y supervisión sobre los terceros, falta de diligencia en su selección con ausencia de certificaciones, de historial de cumplimiento o de capacidad técnica. En varios casos, los proveedores ni siquiera tenían políticas de protección de datos alineadas con la Ley 1581 de 2012.

• Las deficiencias en la supervisión continua ha sido otro punto destacable; pues, los responsables no exigieron reportes periódicos ni trazabilidad de las operaciones realizadas por los terceros; también se encontró que había ausencia o desconocimiento sobre el manejo de incidentes de seguridad, lo que en la práctica condujo a afectaciones de diferentes titulares.

¿Qué errores, atribuibles a los terceros encargados, fueron detectados por la SIC?

• El uso indebido de la información ha sido un factor predominante, encontrando que los encargados habitualmente procesan datos para finalidades distintas a las autorizadas, como el marketing no consentido; a ello se suma la realización de transferencias internacionales de datos sin contar con garantías adecuadas.

• Con respecto a las medidas de seguridad, las inspecciones evidenciaron insuficiencia; pues, muchas bases de datos se mantenían sin cifrado, el personal accedía sin mediar autenticación, e innumerables registros quedaban expuestos en servidores vulnerables. Adicionalmente, se encontró que en sectores como el fintech y el de cobranzas, se producían filtraciones a causa de aplicaciones móviles mal configuradas.

• Frente a la notificación de incidentes, varios encargados omitieron informar oportunamente sobre brechas de seguridad, impidiendo que los responsables alertaran a la SIC y a los titulares.

¿Qué recomendaciones da la SIC a las organizaciones responsables?

La SIC ha emitido lineamientos claros para reducir riesgos en la tercerización:

• Disponer de contratos completos que Incluyan cláusulas sobre finalidades, medidas de seguridad, auditorías, supresión de datos y responsabilidad compartida.

• Mantener una debida diligencia en la selección de proveedores, verificando certificaciones como ISO/IEC 27001 y 27701, historial de cumplimiento y políticas internas de privacidad.

• Supervisar y auditar periódicamente al encargado, exigiéndole reportes de trazabilidad, auditorías internas tanto técnicas, como documentales, más evidencia verificable del cumplimiento.

• Establecer protocolos claros de notificación inmediata frente a incidentes, planes de respuesta a los mismos, y medidas de coordinación entre responsable y encargado.

• Desarrollar mecanismos informativos hacia los titulares sobre la participación de terceros en el tratamiento de sus datos, y contar con procesos de validación del consentimiento.

Las sanciones de la SIC del año en curso demuestran que la tercerización no exime de culpa al responsable de tratamiento; pues, tanto él como el encargado deben cumplir estrictamente con los parámetros de la Ley 1581 y demás regulación aplicable. La SIC insiste en que la clave del éxito en la relación de outsourcing para el tratamiento de datos personales está en la corresponsabilidad, la trazabilidad y la auditoría continua.

https://dataprotected.com.co/blog-proteccion-de-datos/datos-personales/sanciones-en-colombia-por-incumplimientos-en-la-tercerizacion-del-tratamiento-de-datos/

Colaboración:

Diego Ospina

Unidad de Cumplimiento