La Superintendencia de Industria y Comercio realizó un estudio sobre las medidas de seguridad que han implementado 32,763 empresas y entidades públicas para recolectar, almacenar, usar, circular o tratar datos personales.
El informe reveló que seis de cada diez empresas no han implementado medidas para garantizar la seguridad de los datos personales.
En el estudio, la Superindustria realizó 26 preguntas sobre seguridad en el formulario electrónico del Registro Nacional de Bases de Datos (RNBD), donde las empresas debían responder sobre las medidas técnicas, humanas y administrativas implementadas para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
De las respuestas, se concluyó que, en promedio, tan solo el 34,3 % de los responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD.
«Ello significa que 65,7 % de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. Únicamente 884 (2,7 %) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3 %) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC», señaló Andrés Barreto González, superintendente de Industria y Comercio.
Los resultados también revelaron que el 79 % de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible.
Así mismo, el 88 % de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 83 % tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
Otro de los resultados advierte que el 82 % de los responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63 % no usa herramientas de este tipo en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
«El 71 % de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. De este 71 %, tanto en el sector público como el privado, llama la atención que el 27,8 % de las entidades públicas y sociedades privadas (Esal, sociedades o mixtas), tienen encargados de tratamiento, es decir, han tercerizado servicios en el tratamiento de los datos personales», indicó Barreto.
La Superindustria informó que se encontró que 148 empresas que tratan datos sensibles afirmaron no haber hecho nada respecto de las preguntas de seguridad de los datos, por lo que les fueron emitidas órdenes para que implementen medidas para garantizar la seguridad de la información de las personas.
«Estas empresas se encuentran ubicadas en las ciudades como Bogotá (40,54 %), Medellín (10,14 %), Barranquilla (8,1 %), Cali (8,1 %), Bucaramanga (3,38 %), Santa Marta (3,38 %), Cartagena, Cota, Cúcuta, Dosquebradas, Envigado, Mosquera, Neiva y Pereira (todas las anteriores con un 1,35 % cada una)», aseguró el organismo.
Las decisiones se tomaron teniendo en cuenta que estar empresas manejan datos sensibles respecto de los cuales la Corte Constitucional ha manifestado que sobre ellos existe una responsabilidad reforzada que, entre otras, exige mayores medidas de seguridad, de acuerdo con el artículo 5 Ley 1581 de 2012, según explicó Barreto.
Sistema Integrado de Información