Toda organización debe contar con políticas adecuadas y claras para la protección de los datos personales de sus clientes, empleados y proveedores. A continuación, se da una serie de guías para lograrlo.
- Al recolectar la información debe tener clara la finalidad y los usos específicos que dará a los datos. Esto debe saberlo el titular de la información, quien, además, debe dar su consentimiento de manera escrita, oral o mediante conductas que permitan inferir su autorización. Recuerde que debe conservar copia o evidencia de la existencia de la autorización otorgada.
- Su organización debe contar con una persona o área responsable de la protección de datos personales. Esto le permitirá incrementar los niveles de protección de la información y le ayudará a generar confianza entre sus clientes.
- Es de obligatorio cumplimiento la implementación de procedimientos eficaces de corrección o actualización de datos personales al interior de la organización. Se deben establecer procedimientos de atención de las PQRS.
- Dar a conocer a los empleados las políticas internas dispuestas para el tratamiento de la información personal. Una capacitación es una buena alternativa.
- Realizar el inventario de las bases de datos con información de las bases de datos que contengan información personal en la organización y clasificarlo acorde a criterios como información sensible, confidencial, o pública. Se debe mantener actualizado.
- Identificar las etapas del procedimiento o actividad en las que se recolectan, almacenan, utilizan y circulan los datos personales dentro de la organización.
- Identificar los riesgos a los que se ven expuestos los datos de las personas en los procedimientos o actividades que realiza la empresa. Los riesgos se deben medir acorde a la posibilidad de ocurrencia y su impacto en caso de que se materialicen.
- Incluya cláusulas de confidencialidad y manejo de información personal en todos los contratos de la empresa.
- Utilice un lenguaje claro y comprensible en sus comunicaciones con los titulares, tanto para responder PQRS, como para informar los derechos, políticas y programas implementados por la empresa.
- Disponga de una persona o área dentro de la organización para que sea responsable de manejar los incidentes o vulneraciones a los sistemas de información donde se gestionan datos personales y a los archivos físicos.
Las más recientes cifras de la Superintendencia de Industria y Comercio revelan que el 73 % de personas jurídicas que deben hacer el registro de sus bases de datos en la entidad ya lo ha hecho. Lo anterior quiere decir que de 33.819 que deben cumplir con el Decreto 090 de 2018, ya se han registrado 24.700.