El 17 de
octubre de 2012 se expidió la Ley Estatutaria 1581 “por la cual se dictan
disposiciones generales para la protección de datos personales”. La nueva ley busca
proteger los datos personales registrados en cualquier base de datos que
permite realizar operaciones, tales como la recolección, almacenamiento, uso,
circulación o supresión (en adelante Tratamiento) por parte de entidades de
naturaleza pública y privada. Es importante resaltar que a los datos
financieros no se aplicará esta nueva ley, toda vez que estos se encuentran
regulados bajo la Ley 1266 de 2008.
Esta ley
determina los principios que deben seguirse en todo Tratamiento de Datos
Personales, dentro de los que se encuentra:
• Legalidad: El
Tratamiento es una actividad reglada por lo tanto debe sujetarse a lo
establecido en ella y en las demás disposiciones.
• Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
• Libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular.
• Veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• Transparencia: En el Tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• Acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la presente ley y la Constitución.
• Seguridad: Los Datos Personales deben Tratarse con las medidas técnicas, humanas y administrativas para dar seguridad a los registros de las bases de Datos Personales.
• Confidencialidad: Todas las personas que participen en el Tratamiento de Datos Personales deben garantizar la reserva de dicha información.
• Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
• Libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular.
• Veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• Transparencia: En el Tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• Acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la presente ley y la Constitución.
• Seguridad: Los Datos Personales deben Tratarse con las medidas técnicas, humanas y administrativas para dar seguridad a los registros de las bases de Datos Personales.
• Confidencialidad: Todas las personas que participen en el Tratamiento de Datos Personales deben garantizar la reserva de dicha información.
Estos
principios, por expresa disposición, sí son aplicables a los datos financieros.
Se crean dos
categorías de sujetos que realizan el tratamiento de datos personales el
Responsable y el Encargado del tratamiento, el primero será la persona que, por
si o con asocio con otros decida sobre la base de datos y el Encargado es toda
persona que, por sí misma o en asocio con otros, realice el Tratamiento de
datos personales por cuenta del Responsable del Tratamiento.
Como principales
deberes de los Responsables tenemos:
• Solicitar y
conservar, en las condiciones previstas en la presente ley, copia de la
respectiva autorización otorgada por el Titular.
• Informar al titular sobre la finalidad de la recolección.
• Conservar la información bajo condiciones de seguridad
• Informar al titular sobre la finalidad de la recolección.
• Conservar la información bajo condiciones de seguridad
• Garantizar que
la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades que sean del caso.
• Rectificar la información cuando sea incorrecta.
• Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades que sean del caso.
• Rectificar la información cuando sea incorrecta.
• Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
• Tramitar las
consultas y reclamos formulados en los términos señalados en la presente ley.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y en especial, para la atención de consultas y reclamos.
• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y en especial, para la atención de consultas y reclamos.
• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Los principales
deberes de los Encargados del Tratamiento:
• Conservar la
información bajo condiciones de seguridad
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Por otra parte
la norma establece que se requiere de una autorización previa, expresa e
informada por parte titular del dato que este pueda tratarse.
Adicionalmente
la ley estableció dos categorías de datos que reciben especial protección: (i)
los datos sensibles y (ii) los datos personales de los niños, niñas y
adolescentes. Los datos sensibles son aquellos que afectan la intimidad de las
personas o cuyo uso indebido puede generar discriminación (origen racial,
orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos
u organizaciones sociales o de derechos humanos, datos de salud, de la vida
sexual y datos biométricos). Su tratamiento está, en términos generales,
prohibido
salvo que
concurra alguna de las siguientes excepciones: (i) autorización explícita del
titular (ii) tratamiento necesario para salvaguardar su interés vital, (iii) realización
del tratamiento en actividades legítimas relacionadas con el derecho de
asociación, (iv) el ejercicio o defensa de un derecho en un proceso judicial o
(v) tratamientos con finalidad histórica, estadística o científica. Respecto a
los datos de menores de edad, se debe tener en cuenta que aunque la ley
proscribe su tratamiento la Corte Constitucional precisó que tal prohibición
debe interpretarse de forma tal que sí se pueda llevar a cabo pero siempre con
plena protección de los derechos fundamentales del menor.
Un tema
relevante de la ley, consiste en la designación de la Superintendencia de
Industria y Comercio como autoridad competente en materia de protección de
datos personales, a través de la creación de una delegatura, la cual se
encargará de garantizar el cumplimiento de lo establecido en la ley sobre
tratamiento de datos. A dicha entidad se le facultó para imponer sanciones que
van desde multas, pasando por suspensión de actividades e incluso la suspensión
definitiva de las operaciones que involucren tratamiento, a los Responsables o
Encargados del Tratamiento que no cumplan con los deberes que establece la ley.
Igualmente la norma creó el Registro Nacional de Bases de Datos, el cual será
administrado por la SIC y exigirá que las bases de datos que involucren datos
personales sean debidamente registradas ante la entidad.
Por último, la
norma prohíbe la transferencia de datos personales a terceros países que no
proporcionen niveles adecuados de protección del dato. Y para ello se designó a
la Superintendencia de Industria y Comercio como la entidad encargada de
certificar los países que cuenten con un nivel de protección adecuado. Para
aquellos casos en los que la transferencia se vaya a realizar a un país que no
tenga un nivel de protección adecuado, se requerirá del consentimiento expreso
e inequívoco del Titular. Esta disposición será aplicable también a los datos
financieros.
