Presentación de PowerPoint - cancilleria.gov.co · personas o a la sociedad en general ... por la Ley 1581 y avalado por la Corte Constitucional. ... adoptar un manual interno de

Título

Régimen de protección de datos personales

en Colombia

Delegatura para la Protección de Datos Personales

2015

MARCO CONSTITUCIONAL

Artículo 15 de la Constitución Política:

“Todas las personas tienen derecho a su intimidad personal y familiar y a

su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De

igual modo, tienen derecho a conocer, actualizar y rectificar las

informaciones que se hayan recogido sobre ellas en bancos de

datos y en archivos de entidades públicas y privadas” .

En la recolección, tratamiento y circulación de datos se respetarán

la libertad y demás garantías consagradas en la Constitución.”

Regulación en

materia de hábeas data

D.R. 1377 de 2013 Reglamenta parcialmente Ley 1581

D.R 886 de 2014 Reglamenta Registro Nacional Bases de Datos

D.R. 2952 de 2010 D.R. 1727 de 2009

¿QUE ES UN DATO PERSONAL?

Ley 1266 de 2008 : Cualquier pieza de información vinculada a una o

varias personas determinadas o determinables o que puedan asociarse

a una persona natural o jurídica. Los datos impersonales no se

sujetan al régimen de protección de datos de la presente ley.

Ley 1581 de 2012: Cualquier información vinculada o que pueda

asociarse a una o varias personas naturales determinadas o

determinables.

Ley 1581 de 2012

6

Ámbito de aplicación

La ley se aplica al tratamiento de datos personales

efectuado por entidades públicas o privadas,

dentro del país o cuando el Responsable o

Encargado no establecido en territorio nacional le

sea aplicable la legislación colombiana en virtud

de normas y tratados internacionales.

7

Exclusiones

Bases de datos o archivos mantenidos en un ámbito exclusivamente

personal o doméstico

Bases de datos que tengan por finalidad la seguridad y defensa

nacional y la prevención, y control del lavado de activos y

financiamiento del terrorismo.

Bases de datos de inteligencia y contrainteligencia.

Bases de datos y archivos periodísticos y otros contenidos

editoriales.

Bases de datos reguladas por la Ley 1266 de 2008 (datos

financieros – crediticios).

Bases de datos del DANE (Ley 79 de 1993).

8

Principios

Ley 1581 de 2012

Legalidad

Finalidad

Libertad

Veracidad o calidad

Transparencia

Acceso y circulación restringida

Seguridad

Confidencialidad

Sujetos en el Tratamiento

TITULAR

Persona natural cuyos

datos personales son

objeto del tratamiento

RESPONSABLE

DATOS PERSONALES

ENCARGADO

Persona natural o

jurídica, pública o

privada que

decide sobre la

base de datos y/o

tratamiento

Persona natural o

jurídica, pública o

privada que realice

el tratamiento de

datos personales por

cuenta del

Responsable

Clasificación de datos personales(Ley 1266 de 2008 y Decreto 1377 de 2013)

Dato Público: Calificado como tal en la ley. Dato que no es semiprivado,

privado o sensible (Ej. datos relativos al estado civil de las personas, su

profesión u oficio, su calidad de comerciante o servidor público y aquellos

que pueden obtenerse sin reserva alguna).

Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni

pública y cuyo conocimiento interesa al titular y a cierto sector o grupo de

personas o a la sociedad en general (Ej. datos financieros y crediticios,

dirección, teléfono, correo electrónico,).

Datos privado: Dato que solo es relevante para su titular (Ej. fotografías,

videos, datos relacionados con su estilo de vida.)

Dato sensible: Categoría especial de datos personales.

11

Categorías especiales de datos

Datos sensibles

Aquellos que afectan la intimidad de la personas o cuyo

uso indebido puede generar discriminación. (Origen

racial o étnico, orientación política, convicciones

filosóficas o religiosas, pertenencia a sindicatos u

organizaciones sociales o de derechos humanos, datos

de salud, vida sexual y biométricos).

Sistemas biométricos: qué nos

preocupa?

13

Tratamiento de Datos Sensibles

Está prohibido su tratamiento, a excepción de estos

casos:

Autorización explicita del titular

Salvaguarda de interés vital del titular

Actividades legítimas por fundaciones, ONG,

asociación u organismo sin ánimo de lucro

Reconocimiento, ejercicio o defensa de un derecho en

un proceso judicial

Finalidad histórica, estadística o científica (anonimizar)

14

Autorización tratamiento de Datos Sensibles

No obligación de autorizar

tratamiento

No puede condicionarse

una prestación a la autorización

Informar al titular cuáles de

los datos recogidos son sensibles y la

finalidad

15

Categorías especiales de datos

Datos personales de menores

Se proscribe el tratamiento de datos personales de menores de edad

salvo aquellos datos que sean de naturaleza pública.

La Corte Constitucional precisó que tal prohibición debe interpretarse

en el sentido de que los datos personales de los menores de 18 años

pueden ser tratados, siempre y cuando no se ponga en riesgo la

prevalencia de sus derechos fundamentales e inequívocamente

responda a la realización del principio de su interés superior.

16

Derechos de los titulares

• Conocer, actualizar y rectificar sus datos personalesfrente a Responsables y Encargados

• Solicitar prueba de la autorización al Responsable

• Ser informado respecto del uso de los datos

• Presentar quejas ante la SIC

• Revocar la autorización y/o solicitar la supresión deldato (no procede si el titular tiene el deber legal ocontractual de permanecer en la base de datos), y

• Acceder en forma gratuita a sus datos personales

17

Autorización del titular

El Responsable debe informar al titular:

El tratamiento que se da a los datos personales y lafinalidad

El carácter facultativo de respuestas cuando hay datossensibles o de menores

Los derechos que le asisten al titular

La identificación, dirección física o electrónica y teléfonodel Responsable del tratamiento de datos


18

Autorización del titular

Modos de obtener la autorización

Por cualquier medio que permita su consulta posterior:

Por escrito.

De forma oral.

Mediante conductas inequívocas del titular que permitanconcluir de manera razonable que el titular otorgoautorización.

EN NINGÚN CASO EL SILENCIO PODRÁ ASIMILARSE A

UNA CONDUCTA INEQUÍVOCA.


Régimen de transición

El artículo 10 del Decreto 1377 instrumenta el régimen de transición ordenado

por la Ley 1581 y avalado por la Corte Constitucional. Frente a las bases de

datos preexistentes a la expedición del Decreto, prevé que:

• Los responsables que no cuenten con la autorización deberán comunicarse

de manera directa con los titulares para solicitar consentimiento expreso. Si

transcurren 30 días hábiles y el titular no se pronuncia, puede continuarse el

tratamiento, sin perjuicio de la posibilidad del titular, en cualquier tiempo,

de ejercer su derecho de hábeas data.

• De forma excepcionalísima, se permitió la publicación de avisos en prensa o

página web. (Esta venció un mes después de expedido el Decreto).

• El tratamiento solo podrá hacerse para las mismas finalidades que dieron

origen a la recolección inicial.

20

Deberes de los Responsables del

Tratamiento

• Relacionados con los principios de libertad y finalidad:Solicitar y conservar la autorización, suministrar al encargadoúnicamente los datos autorizados e informar al titular la finalidadde la recolección y los derechos que le asisten.

• Relacionados con el principio de veracidad: Calidad de lainformación, actualización y rectificación.

• Relacionados con los principios de seguridad yconfidencialidad: Conservar la información bajo condiciones deseguridad e informar la violación a los códigos de seguridad yexistencia de riesgos en la administración de la información.


21

Deberes de los Responsables del

Tratamiento

• Relacionados con la garantía al ejercicio del derecho de hábeasdata del titular, el principio de transparencia y el principio deacceso y circulación restringida: Adoptar un manual de políticasy procedimientos (recolección, tratamiento y supresión de lainformación y atención de consultas y reclamos); poner a disposicióndel titular las políticas de tratamiento ya sea directamente omediante el aviso de privacidad; tramitar consultas y reclamos einformar a solicitud del titular sobre el uso dado a sus datos.


22

Deberes de los Encargados del

Tratamiento

• Seguridad de la información: impedir la adulteración,pérdida, consulta, uso o acceso no autorizado o fraudulento,adoptar un manual interno de políticas y procedimientos einformar a la autoridad cuando se presenten violaciones a loscódigos de seguridad que generen riesgos en laadministración de la información.

• Calidad de la información: realizar oportunamente laactualización, rectificación o supresión de los datos erróneos,actualizar la información reportada por los responsablesdentro de los 5 días hábiles contados a partir de su recibo,registrar en la base las leyendas de «reclamo en trámite» e«información en discusión judicial» y abstenerse de circularinformación controvertida y cuyo bloqueo haya sido ordenadopor la Superintendencia de Industria y Comercio.


23

Deberes de los Encargados del

Tratamiento

• Acceso y circulación restringida: Debe permitir elacceso a la información únicamente a las personas quepuedan tener acceso a ella, en los términos señalados enla ley.

• Garantía al ejercicio del derecho de hábeas data deltitular: Debe garantizar al titular, en todo tiempo, el plenoy efectivo ejercicio de su derecho de hábeas data ytramitar las consultas y reclamos presentados, en lostérminos señalados en la ley.


24

Procedimientos

• Se establecen los mismos procedimientos

previstos en la Ley 1266 de 2008: Consultas y

reclamos.

• Se permite definir términos inferiores para las

consultas en leyes o reglamentos, atendiendo la

naturaleza del dato.

• Se conserva el requisito de procedibilidad

para elevar queja ante la SIC.


25

Responsabilidad demostrada

(Accountability)Decreto 1377 de 2013

Es un desarrollo del principio de transparencia.

El Responsable debe estar en la capacidad de demostrarle a la SIC que ha

implementado las medidas apropiadas y efectivas para cumplir con los

deberes que le impone la Ley en función de su naturaleza y tamaño, tipo de

tratamiento y riesgos derivados del mismo para los titulares.

El Responsable debe demostrar que ha implementado medidas y políticas

específicas para el manejo adecuado de los datos personales.


POLÍTICAS INTERNAS EFECTIVAS (DECRETO 1377 DE 2013)

Las políticas implementadas por los responsables deben garantizar:

• La existencia de una estructura administrativa proporcional a la

estructura y tamaño empresarial del responsable para la adopción

e implementación de políticas consistentes con la Ley 1581.

• La adopción de mecanismos internos para poner en prácticas

estas políticas incluyendo herramientas de implementación,

entrenamiento y programas de educación.

• La adopción de procesos para la atención y respuesta a

consultas, peticiones y reclamos.

La verificación por parte de la SIC de la existencia de medidas y

políticas específicas para el manejo adecuado de datos personales

que administra un responsable será tenida en cuenta al momento de

evaluar la imposición de sanciones

27

Normas corporativas vinculantes

Corresponde al Gobierno Nacional expedir la

reglamentación sobre Normas Corporativas Vinculantes

para la certificación de buenas practicas en protección de

datos personales y su transferencia a terceros países.


28

Registro Nacional de Bases de Datos

• Directorio público de las bases de datos sujetas aTratamiento que operan en el país.

• Permitirá conocer:

- Realidad de las bases de datos del país

- Flujo y tipo de datos

- Quién o quiénes adelantan su tratamiento

- Finalidad y

- Políticas de tratamiento

• Sujeto a reglamentación (Decreto 886 de 2014)


29

Qué pasos seguir?

• Inventario: identifique sus bases de datos

Cuáles son

Información que contienen

Manejan o no datos sensibles

• Elabore su política de tratamiento y aviso de privacidad

• Asigne un responsable del manejo de la información

• Adopte medidas de seguridad adecuadas evitando:

Adulteración de información

Pérdida de información

Consultas o accesos no autorizados


30

En relación con el manejo de la información

• Diseñe protocolos de recolección, almacenamiento, uso ycirculación de la información

• Inscriba sus bases de Datos en el Registro Nacional


Ámbito Penal - Ley 1273 de 2009

Artículo 269F: Violación de datos personales. El que,

sin estar facultado para ello, con provecho propio o de un

tercero, obtenga, compile, sustraiga, ofrezca, venda,

intercambie, envíe, compre, intercepte, divulgue, modifique

o emplee códigos personales, datos personales contenidos

en ficheros, archivos, bases de datos o medios

semejantes, incurrirá en pena de prisión de cuarenta y

ocho (48) a noventa y seis (96) meses y en multa de 100 a

1000 salarios mínimos legales mensuales vigentes.

32

Delegatura para la Protección de

Datos Personales


• Creación: Decreto 4886 de 2011 (Reestructuración)

• Estructura:- Despacho Delegado

- Dirección (1ª. Instancia)

• Grupos internos de trabajo:- De Hábeas Data

- De Investigaciones Administrativas

33

Título o subtítulo

TRÁMITES A CARGO DE LA DELEGATURA:

• Investigaciones de carácter sancionatorio:

- Imponer sanciones u ordenar medidas

• Reclamos para proteger el derecho de hábeas

data:

- Ordenar corrección, actualización o retiro

de datos personales

34

28/05/2015 35

Sanciones

• Multas de carácter personal e institucional hasta por2000 SMLMV.

• Suspensión de actividades relacionadas con eltratamiento hasta por 6 meses. En acto de cierre seindicarán los correctivos.

• Cierre temporal de las operaciones si no se adoptanlos correctivos.

• Cierre inmediato y definitivo de la operación queinvolucre el tratamiento de datos sensibles.

Sólo aplican a personas de naturaleza privada. Frente aautoridades públicas se remitirá actuación a laProcuraduría General de la Nación.


36

Para consultas o solicitudes

pueden dirigirse a:

[email protected]

37

Gracias

Documents

Presentación de PowerPoint - cancilleria.gov.co · personas o a la sociedad en general ... por la Ley 1581 y avalado por la Corte Constitucional. ... adoptar un manual interno de