Blog

Abstract. Después del reciente escándalo sobre los millones de datos personales explotados por Cambridge Analytica a partir de la aplicación realizada sobre la plataforma de Facebook, la privacidad ha tomado una importancia relevante no solo para Facebook sino también para los usuarios de redes sociales. Distintas autoridades de protección de datos en el mundo, incluyendo la propia Comisión Federal de Comercio – FTC- de Estados Unidos, ha iniciado investigaciones contra Facebook por fallas de seguridad sobre los datos de sus usuarios. En este contexto la autoridad Colombiana, a través de su Delegatura de Protección de Datos Personales, inició una investigación contra Facebook y como resultado de su investigación, le impartió una orden mediante la Resolución 1321 del 24 de enero de 2019, por la cual se le ordena a esta empresa, la adopción de exigente medidas y programas en aras a garantizar la seguridad de los datos de los usuarios. De los mandatos de esta Resolución también los empresarios colombianos deben tomar nota sobre asuntos que podrían suponer fallas en el tratamiento de datos y que, a partir de esta investigación, también pueden constituir escenarios riesgosos no previstos por algunas empresas.

Con el lanzamiento de su red social FACEBOOK, su fundador Mark Zuckeberg afirmó hace 15 años: la privacidad ha muerto! Las personas quieren estar en contacto, relacionarse en el ciber espacio, ¿a quien le interesa la privacidad?  Bajo estos términos la privacidad parecía cosa del pasado. Sin embargo, recientes noticias en diario El Pais de España, revelan que para esta empresa y su director, la Privacidad y la Confidencialidad de los datos de sus usuarios, constituye un tema fundamental de su quehacer empresarial.

Y no en vano consideran esto. Despues del reciente escándalo sobre los millones de datos personales explotados por Cambridge Analytica a partir de la aplicación realizada sobre la plataforma de Facebook, que permitió la construcción de perfiles y manipulación de los usuarios para efectos políticos, quedó sobre la mesa una versión muy distinta: los ciudadanos valoran su privacidad y no desean que personas inescrupulosas, y mucho menos los cibercriminales usen sus datos personales. No en vano Facebook experimentó gracias a este escándalo una pérdida en el valor de su acción en el mercado bursatil y la pérdida de millones de datos de usuarios que decidieron retirarse de esta red social.

Pero este incidente no ha sido el único. Distintas autoridades de protección de datos en el mundo, incluyendo la propia Comisión Federal de Comercio – FTC- de Estados Unidos, ha iniciado investigaciones contra Facebook por fallas en su código que han permitido que se hurten los tokens de muchos usuarios y en consecuencia el acceso a toda su información, así como por el incidente de violación de su aplicación para subir videos, que permitió la exposición de miles de fotografías e imágenes de los usuarios y sus contactos.

En este contexto y habida cuenta de que, según el Ministerio de TIC en Colombia, Facebook trata datos de usuarios colombianos en una cantidad aproximada a los 31 millones de personas, la autoridad Colombiana, a través de su Delegatura de Protección de Datos Personales, en una decisión sin precedentes, inició una investigación contra Facebook para verificar el cumplimiento del Régimen Legal vigente en Colombia sobre protección de datos.

Como resultado de su investigación, decidió impartir una orden a Facebook, mediante la Resolución 1321 del 24 de enero de 2019, por la cual se le ordena a esta empresa, en aras a garantizar la seguridad de los datos de los usuarios y evitar su uso, consulta o acceso no autorizado, así como para evitar la adulteración o pérdida de los mismos, la adopción de las siguientes medidas:

• Adoptar medidas nuevas, necesarias, apropiadas, útiles, eficaces y demostrables para cumplir con el principio y deber de seguridad de los datos de sus usuarios.

• Mejorar o robustecer las medidas de seguridad que ha implementado, de manera que pueda cumplir en un 100% con el principio de Seguridad sobre los datos de sus usarios.

• Desarrollar, implementar y mantener un programa integral de seguridad de la información que garantice seguridad, confidencialidad e integridad de los datos personales.

• Desarrollar, implementar y mantener evaluaciones de impacto de privacidad o de protección de datos personales que le permitan evaluar los riesgos sobre su plataforma, aplicaciones y demas desarrollos que involucran datos personales.

• Desarrollar, implementar y mantener un programa de gestión y manejo de violaciones de datos personales, que le permitan reportar a la SIC, de manera rápida e idónea, los incidentes que se presenten y comprometan datos personales.

• Desarrollar, implementar y mantener medidas de seguridad que impidan el acceso de terceros a datos personales.

• Deberá modificar sus configuraciones de Privacidad de manera que garantice la seguridad de los datos.

• Desarrollar, implementar y mantener medidas que garanticen la devolución y/o eliminación de los datos personales, finalizado el tratamiento autorizado a terceros.

• Deberá ajustar los contratos y acuerdos que sostiene con terceros aliados y/o clienets que acceden a su plataforma.

• Desarrollar, implementar y mantener acciones correctivas frente a los terceros con los cuales se relaciona y que incumplan con los mandatos de la Ley 1581 de 2012.

• Efectuar una auditoria independiente, anual y hasta por cinco años consecutivos, que certifique las medidas de seguridad que se deban adoptar para otorgar seguridad a los datos personales.

Para el cumplimiento de esta orden administrativa, la SIC concedió a Facebook un plazo de cuatro meses, vencidos los cuales deberá demostrar ante la autoridad de control que cumple a cabalidad con lo ordenado, para lo cual deberá obtener una certificación de una entidad imparcial y especializada que acredite que se han tomado las medidas ordenadas por la SIC.

De los mandatos de esta Resolución es preciso que los empresarios colombianos tomen nota sobre algunos asuntos que podrían suponer fallas en el tratamiento de datos y que, a partir de esta investigación, también pueden constituir escenarios riesgosos no previstos por otras empresas:

1. Lo primero es que, la consideración de que la Protección de Datos Personales constituye un Derecho Fundamental, consagrado en el Articulo 15 de la Constitución Política Colombiana, denominado en algunos apartes de la resolución que se comenta, un derecho humano, evidencia que no se trata de una instrucción de cumplimiento en cualquiera otro escenario empresarial, sino de la garantía de derechos fundamentales.
2. En segundo lugar esta investigación invita a considerar y reflexionar sobre el principio de seguridad y la forma como en el entorno empresarial se adoptan medidas de seguridad sobre las bases de datos. La ausencia de un inventario obligatorio que se lleve ante la SIC para muchas empresas medianas y pequeñas, sin duda incidirá en la poca importancia que se otorgue a la seguridad de los datos que se pueden tratar por emprendedores en enormes cantidades y basados en tecnologías como Big Data.
3. Y finalmente es preciso tomar consciencia de que la responsabilidad demostrada no es un asunto del futuro, sino una exigencia de la autoridad de control, que como se indica en la resolución, debe contar con el apoyo y decisión de la Alta Dirección para que la protección de los datos personales se torne en un asunto importante al interior de la organización.

Todo esta investigación y el resultado de la misma, frente a uno de los grandes gigantes de las redes sociales, demuestra una vez mas que, la privacidad nunca ha muerto, y por el contrario, quizas gracias a Facebook, hoy está más viva que nunca.