La seguridad de Datos Personales sigue en pañales en Colombia

Compartir en: 
ESTUDIO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

El Estudio de Medidas de Seguridad en el Tratamiento de Datos Personales, llevado a cabo por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, analizó las medidas de seguridad implementadas para recolectar, almacenar, usar, circular o tratar datos personales que han implementado  32,763, organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad, desde el año 2015 hasta el 18 de septiembre de 2019.  De éstas, 31.410 son empresas privadas (95.8%) y 1.353 entidades públicas (4,1%). La SIC realizó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización Responsable del Tratamiento (empresa o entidad pública) solo debía manifestar SI o No.   

El informe fue publicado el pasado 22 de noviembre de 2019 y lo puede consultar al final del artículo. 

Con respecto al sector privado en Colombia, el Estudio  sobre 31.410 empresas (entre privadas, sin ánimo de lucro y mixtas) del país, refleja que el 44 % de las empresas que hacen parte del estudio, tienen un nivel de implementación menor o igual al 25 % de las medidas apropiadas y efectivas para garantizar la seguridad de los datos personales y sólo el 15 % tienen un nivel de implementación igual o superior al 76 %, de todos los requerimientos de seguridad emitidos por la SIC. Esto muestra una falta de preparación para garantizar la seguridad de los datos personales y por ende una ausencia de capacidades al respecto.

En conclusión, se evidencia que en Colombia hay deficiencias en todo el conjunto de las capacidades relacionadas con la seguridad digital, por parte de los ciudadanos, del sector público y del sector privado. Esto causa que el país presente bajos niveles de preparación y de avance en la materia, lo que a su vez incrementa la vulnerabilidad del país ante ataques y amenazas cibernéticas, deteriorando la confianza y el normal desarrollo de nuestro entorno digital.

RESULTADOS DE LA MUESTRA TOTAL 

El estudio  concluye lo siguiente de las respuestas de las 32,763 empresas y entidades públicas:

PRIMERO: En promedio, tan solo el 34,5% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 65,5% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. Únicamente 884 (2.7%) de las organizaciones manifestaron haber adoptado todos los requerimientos de seguridad de la SIC, en contraste con 1860 (3%) que afirmaron no haber hecho nada respecto de lo preguntado por la SIC.

SEGUNDO: El 79% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible.

TERCERO: El 88% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 83% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.

CUARTO: El 82% de los Responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 63% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.

QUINTO: El 71% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. Se destaca que de ese 71%, tanto en el sector público como el privado, el 95,8% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.