No son pocos los casos en los que la Superintendencia de Industria y Comercio -SIC- ha impuesto o confirmado multas a empresas por la omisión de contar con una política de seguridad que se ajuste a los parámetros establecidos en el ordenamiento jurídico.
Según lo ha establecido la jurisprudencia y la doctrina, realizar un tratamiento de datos personales sin contar con una política o manual interno de seguridad implica una afectación al derecho fundamental del habeas data.
Este hecho constituye una vulneración directa del derecho fundamental de habeas data de los titulares cuyos datos personales son tratados, en la medida en que la falta de documentación de las políticas de seguridad, procedimientos y procesos establecidos por la sociedad, pone en peligro la seguridad de los datos e impide cumplir de manera integral con el principio de seguridad en el tratamiento de los mismos.
También constituye infracción a este derecho el que una empresa se enfrente a un incidente de seguridad y no lo reporte en el Registro Nacional de Bases de Datos.
Debe tenerse en cuenta que a la luz del artículo 23 de la Ley 1581 de 2012, la SIC cuenta con la facultad de imponer sanciones a los Responsables o Encargados del tratamiento de información. Estas sanciones pueden ser en forma de multas, que tendrán un carácter tanto personal como institucional.
La cuantía máxima de estas multas puede alcanzar hasta el equivalente a dos mil (2000) salarios mínimos mensuales legales vigentes al momento en que se impone la sanción6. Dichas sanciones se aplicarán en casos de violación a la ley de protección de datos, así como por la inobservancia de órdenes e instrucciones impartidas por la [entidad].
Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales. Resolución 42570 de 2023.
