La mayoría de las empresas, en el desarrollo de su actividad, tratan datos personales ¿de sus empleados, clientes, proveedores, hojas de vida, etc.) y, en consecuencia, tienen la obligación de adaptarse a la normativa en materia de protección de datos, concretamente a la Ley 1581 de 2012 de Protección de Datos Personales (LEPD) y su desarrollo reglamentario (RLEPD).

La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó;

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles;

Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

En líneas generales, entre otras obligaciones, la normativa requiere el cumplimiento de unos principios básicos en el tratamiento de datos personales. Principios que se pueden sintetizar en los siguientes:

• Autorización. Obligación de recabar la autorización del titular para la recogida, tratamiento y transferencia de sus datos, variando el procedimiento para su obtención en función de las circunstancias concurrentes. Dicha autorización debe ser previa, expresa e informada.

• Información. Deber de informar a los titulares sobre todos los aspectos relacionados con el tratamiento de sus datos, a través de Políticas de Tratamiento y Avisos Privacidad.

• Calidad. La información tratada por el responsable del tratamiento ha de ser veraz, completa, exacta, actualizada, comprobable y comprensible. Prohibiéndose el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

• Seguridad. Obligación de adoptar las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.

• Confidencialidad. Todas las personas que intervienen en el tratamiento de datos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

Al tratarse de una normativa que regula una serie de obligaciones para las empresas, consecuentemente, genera unos derechos para las personas. En este sentido, el objeto principal de la normativa en materia de protección de datos es garantizar el derecho que tienen las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos.

Los titulares de los datos personales podrán ejercer ante las empresas los derechos de consulta y reclamos (derecho de corrección, actualización y supresión). De forma que, recibida alguna de estas peticiones, la empresa tiene la obligación de contestar y atender dicha solicitud cumpliendo una serie de requerimientos de tiempo y forma.