¿Cómo hacer una política de tratamiento de datos?

Si su empresa maneja datos personales, ya sea de empleados, clientes o proveedores, necesita contar con una política de tratamiento de datos personales que asegure el cumplimiento  de la legislación colombiana. La política de tratamiento establece cómo se recogen, almacenan, usan, protegen y suprimen los datos personales, garantizando así los derechos de los titulares y la seguridad de la información. En este blog, te explicamos los pasos clave para crear una política adecuada, conforme a la Ley 1581 de 2012 y otras normativas aplicables en Colombia.

La política debe alinearse con las directrices que establece la Ley 1581 de 2012. La política debe versar sobre los principios de: licitud, que implica que el tratamiento debe basarse en la ley y en el consentimiento de los titulares; finalidad, que establece que los datos solo se deben utilizar para fines legítimos previamente informados al titular; y transparencia, que asegura que los titulares pueden conocer qué datos se están utilizando y cómo se emplean. Asimismo, es fundamental que la política contemple medidas técnicas de seguridad para proteger los datos contra accesos no autorizados, pérdidas o alteraciones, y el acceso restringido, donde sólo las personas autorizadas por los titulares o por ley pueden acceder a los datos personales.

Otro aspecto importante que debe abordarse en la política es la categoría de datos personales que se van a tratar. En Colombia, los datos personales se dividen en varias categorías, incluyendo datos sensibles, que son aquellos que afectan la intimidad de la persona, como información sobre salud, creencias religiosas, orientación política, entre otros. El tratamiento de estos datos requiere el consentimiento explícito del titular, a menos que haya una excepción legal que lo permita. También es necesario especificar cómo se tratarán los datos privados, que son aquellos que son relevantes solo para el titular, y los datos semiprivados, que, aunque no son completamente privados, pueden ser de interés para un grupo determinado de personas.

La política debe describir de manera detallada cómo se recopilarán y utilizarán los datos personales. En ese sentido, se deben especificar los fines específicos para los cuales se utilizarán los datos, como por ejemplo, la gestión de clientes, el cumplimiento de obligaciones contractuales, la mejora de servicios, o el envío de comunicaciones de marketing. Además, la política debe garantizar que la recolección de datos sea previa, explícita e informada; es decir, que se le comunique al titular el propósito para el que se están recolectando sus datos y cómo serán tratados. En caso de que la finalidad del tratamiento cambie, se deberá obtener una nueva autorización del titular.

Un aspecto que debe incluir en la política es la autorización del titular para el tratamiento de sus datos personales. La autorización debe ser previa, expresa e informada, y debe ser obtenida antes de recolectar cualquier dato. Para los datos sensibles, la autorización debe ser aún más explícita, ya que el tratamiento de estos datos está restringido por la ley y solo se puede hacer con el consentimiento explícito del titular. Además, es necesario indicar en la política cómo el titular puede revocar su consentimiento en cualquier momento, y cómo puede ejercer este derecho de manera fácil y accesible.

Los derechos de los titulares de los datos personales también deben ser claramente explicados en la política. Entre estos derechos se incluyen el derecho a conocer, actualizar y rectificar sus datos personales, a revocar la autorización otorgada para el tratamiento de sus datos y a solicitar la supresión de sus datos cuando ya no sean necesarios para los fines para los cuales fueron recolectados. Además, se debe garantizar que los titulares puedan consultar y acceder a la información que se tiene sobre ellos, así como presentar reclamos en caso de que consideren que sus derechos están siendo vulnerados.