50,7% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales: SIC.
En marzo de 2022 la SIC publicó el tercer informe en el que evalúa que tal está Colombia en medidas de seguridad para el tratamiento de datos personales.
El estudio indaga sobre las medidas de seguridad implementadas por 33.169 entidades registradas en el Registro Nacional de Bases de Datos (RNBD), entre empresas y entidades públicas para recolectar, almacenar, usar, circular o tratar datos personales.
El estudio completo puede verlo en el siguiente enlace:
https://www.sic.gov.co/sites/default/files/files/2022/Estudio%20de%20seguridad%202022%2015III2022.pdf
La SIC realizó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización Responsable del Tratamiento (empresa o entidad pública) solo debía manifestar SI o No.
Dicho estudio concluyó que solo el 49.3% de los responsables de tratamientos de datos aseguraron a través de sus respuestas cumplir con los requerimientos de seguridad indagados por la SIC en el formulario del RNBD.
Aunque hay un incremento en el cumplimiento de algunos aspectos importantes a destacar, aún tenemos mucho por mejorar en Colombia en materia de protección de datos.
Hallazgos más destacables del estudio SIC sobre el tratamiento de datos personales 2021.
Los siguientes son los aspectos que presentaron un incremente significativo en su cumplimiento entre el 2019 y el 2021:
• Implementación de medidas especiales para proteger datos sensibles: +21%
• Creación de política de protección para acceso remoto a la información personal: + 18,4%
• Uso de mecanismos de monitoreo de consulta de las bases de datos: +17,8%
• Incorporación de medidas apropiadas y efectivas de seguridad: + 15,3%
Estos fueron los aspectos de menor cumplimiento desde el 2019 al 2021:
• No tiene política de auditoría de seguridad de la información: + 11,5%
• No tiene políticas y procedimientos de gestión de incidentes de seguridad: +13%
• No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: +13,3%
• No tiene controles de seguridad en la tercerización de servicios para el tratamiento de datos: 13,5%
Conclusiones finales del estudio SIC sobre el tratamiento de datos personales 2021.
PRIMERO: En promedio, tan solo el 49,3% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 50,7% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales.
3.757 (11,3%) de las organizaciones manifestaron haber adoptado al menos parte de los requerimientos de seguridad de la SIC, 118 (0,3%) afirmaron no haber hecho nada respecto de lo preguntado por la SIC.
SEGUNDO: El 58% de las organizaciones no han implementado medidas especiales para proteger datos sensibles.
TERCERO: El 69,6% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 68,4% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales.
CUARTO: El 64,3% de los Responsables del tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 46,6% no usa herramientas de gestión de riesgos en el tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
QUINTO: El 57,5% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal. Se destaca tanto en el sector público como el privado, el 44,2% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.
Observaciones Finales.
La protección de los datos personales es una de las responsabilidades más importantes de las empresas en la actualidad. El incumplimiento de estas normas puede acarrear sanciones monetarias y reputacionales que pueden ser catastróficas para la organización.
Desde Alfredo López prestamos servicios de Oficial de Cumplimiento de RNBD (Registro Nacional de Bases de Datos) ayudándole a nuestros clientes a asegurar el cumplimiento de los estándares regulatorios nacionales, revisar reportes de auditoría y seguimiento de posibles violaciones de la ley.
Así como el servicio de auditoria interna en TI para identificar riesgos y evaluar la seguridad, el rendimiento, la integridad y la eficiencia de los sistemas de TI. Asegurando que los sistemas de TI estén protegidos contra cualquier amenaza que pueda comprometer la seguridad de la información.