El tratamiento de datos personales sigue siendo un tema del que no muchas empresas se ocupan y que aún no está ampliamente estudiado, inclusive algunas entidades públicas carecen de regulación en este sentido, desconociendo que las normas que regulan la protección también están dirigidas a ellas.

Lo fundamental a saber de parte de las empresas es que tienen la responsabilidad de poder demostrar ante la autoridad competente, Superintendencia de Industria y Comercio, que han sido diligentes en la protección de los datos personales que manejan en su operación empresarial.

Tres pasos básicos para la protección de datos personales está en contar con las autorizaciones de parte de los titulares de la información, desarrollar un programa o política para la protección de datos personales en el cual se involucre el oficial de protección y por último realizar el registro de las bases de datos si están obligadas. No todas los sujetos están obligados a registrar sus bases de datos, pero todos deberán contar con autorización y política de protección de datos.

No siempre se requiere contar con autorización para el tratamiento de datos personales, porque hay algunos que están exceptuados de la misma como por ejemplo la que se encuentra en los registros públicos. Hace poco la Corte Constitucional en sentencia T254 de 2024, aclaró que que no toda la información que reposa en las hojas de vida de los empleados es sensible o protegida por la normatividad, es así como el número de cédula es un dato público que consta en un documento público por lo que no requiere autorización.

Es esencial contar con la implementación del programa para tratamiento de datos personales al interior de las empresas, ya que utilizar la información personal en los procesos con clientes, empleados y proveedores genera grandes riesgos jurídicos y a su vez multas y sanciones de parte de la Superintendencia de Industria y Comercio.