Bogotá D.C., 28 de agosto de 2024.
La Superintendencia de Industria y Comercio (“SIC”) publicó la Circular Externa No. 3 de 2024, por medio de la cual dictó las siguientes instrucciones para los administradores societarios en relación con el tratamiento de datos personales:
1. Los administradores están obligados al cumplimiento de los establecido por la regulación de protección de datos personales.
2. Las políticas internas efectivas implementadas en virtud del principio de Responsabilidad Demostrada/Accountability que establezcan los administradores para garantizar el debido tratamiento de datos personales deben ser objeto de monitoreo y control para garantizar su cumplimiento.
3. Los administradores deben conocer y promover las políticas internas efectivas al interior de la organización. Para ello podrán designar a la persona o al área que asumirá la función de protección de datos personales dentro de la organización; aprobar y verificar el real y efectivo cumplimiento de un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las normas y; establecer canales de comunicación que le permitan a la persona o al área responsable informar de manera periódica a los administradores sobre la ejecución de las políticas internas efectivas.
4. Los administradores deben establecer lineamientos para implementar medidas preventivas para proteger los derechos de los titulares de los datos personales, como evaluaciones de impacto de privacidad, las cuales se hacen necesarias cuando se traten datos personales por medio de sistemas de Inteligencia Artificial y que se identifique un posible alto riesgo para los derechos de los titulares, como lo prevé la Circular Externa No. 3 de 2024.
5. Los administradores deben establecer los lineamientos para fortalecer continuamente las medidas de seguridad de la información al interior de la organización. Particularmente, el manual interno de políticas y procedimientos debería involucrar un componente de gestión de riesgos.
Así mismo, la SIC señaló que los administradores societarios serán considerados como corresponsables del tratamiento cuando en conjunto con la persona jurídica determinen los fines o los medios del tratamiento de los datos personales. Sin embargo, la SIC no desarrolló cuáles de las obligaciones específicas en materia de protección deberían ser cumplidas por los administradores, ni la manera de acreditar su cumplimiento.
En caso de requerir apoyo en materia, no duden en contactarnos.