RIESGOS EN EL TRATAMIENTO DE INFORMACIÓN POR PARTE DE INSTITUCIONES DE EDUCACIÓN SUPERIOR –IES-.
Desde la expedición de la Ley 1581 de 2012 (Ley General de Datos Personales) son muchos los sectores que han desarrollado esfuerzos por dar cumplimiento al diseño, implementación y administración del programa integral de gestión de datos personales que la norma exige.
Particularmente las Instituciones de Educación Superior –IES- encuentran en la normatividad de datos personales un desafío, pues diversos factores de su gestión interna representan un riesgo de cara a la protección de la privacidad de los estudiantes, padres de familia, y en general, miembros de la comunidad académica. Veamos a continuación algunos de ellos:
¿Cuántas bases de datos se gestionan al interior de las Universidades? ¿Cuántas de ellas se deben inscribir en el Registro Nacional de Base de Datos –RNBD- antes de finalizar el año 2018? Estas preguntas arrojan un primer escenario complejo al interior de las IES, y es el adecuado inventario y administración de la información, pues al encontrar dependencias tan diversas en su interior, se dificulta la gestión de dichos datos, y la identificación de cara a la inscripción ante el RNBD administrado por la Superintendencia de Industria y Comercio –SIC-.
¿Cómo se publican las notas de los estudiantes? ¿Se envían correos electrónicos masivos con copia oculta? Estos detalles marcan la diferencia, pues de no adoptarse medidas que garanticen el acceso restringido de datos semiprivados como es el caso de las notas, o de los mismos correos electrónicos de los estudiantes, se está violando la normatividad vigente y poniendo en peligro la confidencialidad de la información.
¿Puede un niño, niña o adolescente autorizar el tratamiento de sus datos personales? ¿Cómo proceder cuando un padre de familia solicita el acceso a notas de un estudiante mayor de edad? Recolectar adecuadamente los datos personales, comprendiendo la especial protección que revisten los niños, niñas o adolescentes en Colombia es el primer presupuesto para legitimar el uso de la información, así como identificar la disposición de los personales por parte de quienes cuentan con mayoría de edad.
¿Qué medidas se deben adoptar cuando se tercerizan servicios de contact center? ¿Cuáles países cuentan con adecuados niveles de protección para almacenar datos personales en Cloud Computing –nube-? La ley asigno un régimen de responsabilidad solidario para el responsable y encargado del tratamiento, por lo que la tercerización de un servicio que implique la comunicación de datos personales debe examinarse con detalle.
¿Cuál es el tiempo de conservación del expediente académico? ¿Puede un egresado solicitar la supresión de sus datos para algunas finalidades? La ley ha definido el principio de temporalidad del dato, así como la facultad del titular de solicitar su supresión, por lo que atender adecuadamente el tiempo de permanencia del dato es una obligación de la IES.
Estos riesgos obligan que las Universidades adopten un programa integral de gestión de datos personales, en el cual se defina un oficial de datos que marque la ruta de trabajo de la Institución mediante el seguimiento y mejoramiento continuo del programa.
Para mayor información, lo invitamos a participar sin ningún costo al encuentro de Universidades, para lo cual, se podrá inscribir al Webinar: “10 Pasos para implementar el Sistema de Gestión de Datos personales en las Instituciones de Educación Superior -IES-“ a través del siguiente Link:
http://docs.google.com/forms/d/e/1FAIpQLScNjMD02E9FMSCjbzF93LWt0upA8UzfRA7KNPlWVd8kL6Y6gg/viewform