Privacidad y la responsabilidad de los administradores

Recientemente, la Superintendencia de Industria y Comercio (SIC) emitió la Circular 003 de 2024 mediante la cual se brindan instrucciones para los administradores societarios en relación con el cumplimiento de la ley de protección de datos personales, frente a su rol en el desarrollo, aplicación, monitoreo y evaluación de las Políticas Internas Efectivas para el debido tratamiento de datos personales, en cumplimiento del principio de responsabilidad demostrada o “accountability”. Adicionalmente, la Circular estableció que los administradores de una sociedad serán considerados como co-responsables del tratamiento de los datos personales junto con la persona jurídica, cuando determinen los fines y medios del tratamiento de datos.

La Circular 003 tiene un impacto mayúsculo en el régimen de responsabilidad de los administradores y sin duda generará reacciones que deben ser resueltas. Según la SIC, “las circulares no tienen como propósito repetir exactamente los que la ley dice.” Añade que “las circulares son instrumentos normativos para ampliar y actualizar nociones jurídicas.” Así la SIC interpreta que las sanciones aplicables a los responsables del tratamiento podrían extenderse a sus administradores. La legalidad de esta aproximación de la SIC para “ampliar” el alcance del Régimen legal en materia de Protección de Datos deberá ser definido por los jueces, pues la Circular no se limita a brindar orientaciones e instrucciones sobre la forma de cumplir con la normatividad, sino que genera efectos jurídicos adicionales, que pueden interpretarse como una extralimitación por parte de la SIC.

la Circular 003 interpreta que los administradores deberán revisar e involucrarse en el diseño de políticas de gobernanza idóneas que garanticen el cumplimiento del régimen de protección de datos al interior de sus empresas y deberán participar en la implementación de políticas y manuales internos que promuevan la cultura de privacidad al interior de las empresas que dirigen. Cualquier falta a estas instrucciones los hace directamente responsables y, en consecuencia, puede ser objeto de las sanciones aplicables (ej. Multas).

Además de la posible responsabilidad administrativa, los administradores, al ser considerados co-responsables, podrían ser objeto de reclamaciones por daños y perjuicios en cabeza del titular. Recientemente, el Tribunal Superior de Bogotá reconoció la posibilidad de reclamar perjuicios inmateriales por las infracciones al régimen de protección de datos personales.

Según reporte de Fortinet, en el 2023 Colombia sufrió 12.000 millones de intentos de ciberataques. El crecimiento exponencial de la cibercriminalidad y el hecho de que la digitalización de la actividad empresarial cada vez es mayor, impone la necesidad para toda organización de diseñar un sistema de gobernanza robusto que responda a las necesidades de la empresa en materia de privacidad y protección de datos personales. Así pues, y más allá de la responsabilidad que le es aplicable a los administradores, si es deseable que aspectos relacionados con la seguridad de la información, la implementación de manuales y políticas internas efectivas para garantizar el adecuado tratamiento de datos personales y la promoción de una cultura de cumplimiento para todos los empleados de una empresa sea parte de la agenda de la dirección de toda organización.