Instrucciones a Representantes legales y miembros de juntas
directivas para el correcto tratamiento de datos personales
La Superintendencia de Industria y Comercio a través de la Circular
Externa 003 del 22 de agosto de 2024 emitió un conjunto de instrucciones
dirigidas a los administradores societarios de entidades bajo su vigilancia,
acerca del alcance de las obligaciones que tienen en materia de tratamiento de
datos personales.
Sin embargo, lo primero que vale la pena preguntarse es: ¿quiénes son
considerados administradores societarios?
Para dar respuesta a este interrogante debemos remitirnos al numeral
5.1 del título I del capítulo V de la Circular Básica Jurídica de la Superintendencia
de Sociedades, la norma específica para tales efectos.
Allí se señala que “se considera administrador al representante
legal, el liquidador, los miembros de las juntas o consejos directivos, el
factor y quienes de acuerdo con los estatutos detenten o ejerzan funciones
administrativas”.
Es decir, sobre este conjunto de personas recaen las instrucciones
recientemente formuladas por la SIC.
Principio de responsabilidad demostrada
Lo primero que señala la SIC en la Circular Externa 003 de 2024 es que
en relación con el tratamiento de datos personales impera “el deber de
responsabilidad demostrada o accountability”. Dicho deber exige a los administradores societarios “adoptar medidas
útiles, oportunas, eficientes y demostrables para acreditar el total y correcto
cumplimiento de la regulación”.
Con base en ello, la SIC sostiene que los administradores societarios
“serán corresponsables del tratamiento [de datos] cuando en conjunto con la
persona jurídica determinen, respecto de unas operaciones de tratamiento
específicas, los fines o los medios sobre la base de datos y/o el tratamiento
de los datos”.
Estudios de impacto de privacidad
La Circular Externa 003 de 2024 exige a los administradores societarios
establecer los lineamientos corporativos para adoptar medidas preventivas que
garanticen la protección de los derechos de los titulares de datos personales.
Para ello pueden realizar estudios de privacidad, los cuales deberían
incluir las siguientes medidas mínimas:
- Una descripción detallada de las operaciones de tratamiento de datos personales.
- Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales (en la evaluación de riesgos se espera, por lo menos, la identificación y clasificación de tales riesgos).
- Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales.
Tareas y deberes adicionales
La norma precisa que los administradores societarios deben verificar
que las políticas internas garanticen el debido tratamiento de datos personales
y que dicha política sea objeto de “monitoreo y control para garantizar su
cumplimiento”.
Así mismo, la Circular Externa establece que los administradores tienen
la obligación de conocer las políticas en materia de protección de datos
personales y adoptar mecanismos internos para hacerlas cumplir efectivamente.
Para ello, agrega la norma, pueden designar a una persona o área que
asumirá la función de protección de datos personales y establecer canales de
comunicación que permitan a dicha persona o área informar de manera periódica a
los administradores sobre la ejecución de la política.
También deben verificar que la política incluya “un componente de
gestión de riesgos que le permita a la empresa identificar sus vulnerabilidades
a tiempo y enfocar sus recursos en la mitigación de éstos”.
Para más información, consulte el documento adjunto.
Ver Circular >aquí<
0 Comentarios