REGISTRO NACIONAL DE BASES DE DATOS – DECODIFICANDO EL

DECRETO 886 DE 2014

Julio 2014

ASOCIACION COLOMBIANA DE INGENIEROS DE SISTEMASAliado tecnológico

IVAN DARIO MARRUGO JIMENEZ

Abogado. Socio Fundador de Marrugo Rivera & Asociados. Director de Consultoría en protección de datos personales de B-Secure. Especialista en Derecho de las Telecomunicaciones de la Universidad del Rosario. Auditor Interno Certificado en Sistemas de Gestión de Seguridad de la Información ISO 27001. Curso en Certified Hacking Forensic Investigator v.8 del ec-council. Experto en Derecho y Tecnología se especializa en Comercio Electrónico, Derecho Informático, Seguridad de la Información, Tecnologías de la Información y Comunicaciones, Informática Forense.

FACILITADOR

El Modelo de Protección de Datos en Colombia

Agenda

Conceptualización

Principales aspectos normativos

Registro Nacional de Bases de Datos

Elementos: Una Estrategia Integral de Protección de Datos

El contexto del tema

• Ante los notables avances de las comunicaciones, posibles gracias a las nuevas tecnologías, cada vez es mucho más sencillo acceder a un mayor número de informaciones relevantes sobre una persona, sin que ella se entere siquiera de que estas informaciones existen. La posibilidad de consultar, con ayuda de poderosos procesadores, complejas y extensas bases de datos, en las cuales toda la información se acumula sin problemas de espacio, es un gran avance para lograr el acceso a la información y para realizar el valor de transparencia que subyace en él, pero también es un riesgo importante para la intimidad y para la protección de los datos personales.

Dato personal•Industria del dato: Hay muchos tipos de información. • Información estatal.•Secretos industriales.•Estados financieros.• Información personal.• Datos personales: Identificación, estado civil, origen, financiero,

crediticio, etc.

AntecedentesArt. 15 Constitución Política: Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.

Derechos conexos

• Información•Honra y honor•Autodeterminación informática.•Buen nombre e imagen• Igualdad• Intimidad

Antecedentes jurisprudenciales

•Sentencia T-414 de 1992. M.P. Ciro Angarita Baron: •Propiedad del dato.•Vigencia del dato.•Derecho al olvido.•Prescripción.•Actualización.

•Derecho a la información vs. derecho a la intimidad:• Información crediticia.• Información sobre la salud: Historias clínicas.•Otros intentos por regular la materia.•Proyectos de Ley.

Colisión de Derechos

Otros antecedentes mas próximos

•Sent. T-307 de 1999.•Sent. T-729 de 2002.•Sent. T-718 de 2005 (Derecho autonomo,

inmediato, tutelable)•Sent. T- 260 de 2012. Facebook.

Caso especial. El caso

Sentencia T 987 de 2012.PRIMERO: REVOCAR, las sentencias proferidas el 4 de junio de 2012 por el Juzgado Diecisiete Penal Municipal con Función de Garantías de Bogotá y el 13 de julio de 20112 por el Juzgado Once Penal del Circuito Especializado de la misma ciudad. En su lugar, TUTELAR los derechos fundamentales al debido proceso y al hábeas data del ciudadano Gustavo Quintero Navas. SEGUNDO: ORDENAR al representante legal de la sociedad comercial Aerovías del Continente Americano S.A. - Avianca S.A., que en el término de cuarenta y ocho (48) horas contado a partir de la notificación de esta sentencia, proceda a eliminar la base de datos administrada por esa sociedad, denominada lista de viajeros no conformes, destinada a la negación del acceso al servicio público esencial de transporte aéreo suministrado por esa compañía de aviación, en los términos explicados en esta decisión. Para cumplir con esta orden judicial, Avianca S.A. procederá a adelantar los procedimientos físicos y tecnológicos destinados a destruir toda la información personal contenida en la denominada lista de viajeros no conformes y recopilada con el fin de negar el acceso al servicio público mencionado, de manera que no sea posible su consulta física o electrónica en el futuro. De igual manera, ORDENAR al representante legal de la sociedad comercial Aerovías del Continente Americano S.A. - Avianca S.A. que adopte las decisiones tendientes a impedir que bases de datos o registros de la naturaleza y objetivos de la denominada lista de viajeros no conformes sean confeccionados en el futuro.

LEY 1581 DE 2012. PROTECCIÓN DE DATOS PERSONALES

OBJETIVO DE LA NORMA: Desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma

LAS PARTICULARIDADES DE NUESTRO SISTEMA DE

PROTECCION DE DATOS•Es un sistema Mixto: Coexisten 2 normas.

(Colisión normativa)•Declarada constitucional por la Corte mediante

sentencia c-748 de 2011•Sistema de principios.•Aplicable a cualquier dato contenido en una BD

que sea susceptible de tratamiento.

La norma

•30 artículos. 9 Títulos.•Reglamentación parcial.•Decreto 1377 de 2013.•Decreto 886 de 2014•Normas corporativas vinculantes•Criterios de Seguridad

•Generalidades.•Categorías especiales.

El derecho constitucional que tienen todas las personas a :ConocerActualizar Rectificar Las informaciones que se hayan

recogido sobre ellas en bases de datos o archivos

El objeto de protección.

Derecho a la Información: ART. 20. Se garantiza a toda persona la

libertad de (…) informar y recibir información veraz e imparcial (…)

¿Qué tipo de base de datos o archivos los cobija esta ley?

Datos personales registrados en cualquier base de datos que sean susceptibles de tratamiento por entidades públicas y privadas

Esta ley no es aplicable a:

Base

s de

dat

os o

arc

hivo

s

Ámbito exclusivamente personal o doméstico.

Que tengan por finalidad la seguridad y defensa

nacional

Inteligencia y contrainteligencia

Periodística y otros contenidos editoriales;

regulados por la Ley 1266 de 2008

regulados por la Ley 79 de 1993.

Autorización

Bases de datos

Dato personal

Encargado del Tratamiento

Responsable del

Tratamiento

Titular

Tratamiento

Conceptos claves

Legalidad

Finalidad

libertad

Calidad o veracidad

Transparencia

Acceso y circulación restringida

Seguridad

Confidencialidad

Principios

Categoría especiales de Datos

Datos sensibles• Afectan la intimidad del titular• Su uso indebido pueden generar discriminación• Datos relativos a la salud, vida sexual y datos biométricos

Esta prohibido el tratamiento de datos sensibles, salvo las excepciones que establece la ley

Tratamiento de datos personales de niños, niñas y adolescentes

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

La especial protección que se da a los datos personales de niños, niñas y adolescentes, es una proyección razonable que se desprende de su condición de sujetos que gozan de una especial protección constitucional.

El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.

Deber de informar al titular del dato

Cuando el responsable del Tratamiento solicita al titular del dato la autorización, debe informarle de manera clara y expresa lo siguiente:a) El Tratamiento al cual serán sometidos sus datos personales y la

finalidad del mismo;b) El carácter facultativo de la respuesta a las preguntas que le sean

hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;

c) Los derechos que le asisten como Titular;d) La identificación, dirección física o electrónica y teléfono del

Responsable del Tratamiento.

El Responsable del Tratamiento deberá conservar prueba del cumplimiento de estos requisitos cuando el Titular lo solicite, y

entregarle copia de esta.

Deberes de los Responsables y Encargados del tratamiento • Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad

y privacidad de la información del Titular;

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado

cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;

• Informar al Encargado del Tratamiento cuando determinada información se encuentra en

discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el

trámite respectivo;

• Informar a solicitud del Titular sobre el uso dado a sus datos;

• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos

de seguridad y existan riesgos en la administración de la información de los Titulares.

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y

Comercio.

Deberes de los Encargados del Tratamiento

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;• Conservar la información bajo las condiciones de seguridad necesarias para

impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;• Realizar oportunamente la actualización, rectificación o supresión de los

datos en los términos de la presente ley;• Actualizar la información reportada por los Responsables del Tratamiento

dentro de los cinco (5) días hábiles contados a partir de su recibo;• Adoptar un manual interno de políticas y procedimientos para garantizar

el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

DECRETO 886 DE MAYO 13 DE 2014

Art. 25 Ley 1581 de 2012. Registro Nacional de Bases de Datos – RNBD

• Es el directorio público de las bases de datos sujetas a tratamiento que operan en el país.

• El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

• Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

DECRETO 886 DE MAYO 13 DE 2014

OBJETO Y AMBITO DE APLICACION

• Tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento.

• Aplicación: Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

Para realizar el registro de bases de datos, los interesados deberán además aportar a la SIC las políticas de tratamiento de la información, las cuales obligarán a los Responsables y Encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes.

ENTONCES….

El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento. Los ciudadanos podrán consultar en el Registro Nacional de Bases de Datos, la información mínima prevista en el artículo 5 del presente decreto con el fin de facilitar el ejercicio de sus derechos a conocer, actualizar, rectificar, suprimir el dato y/o revocar la autorización.

DEBER DE INSCRIPCION Y CONSULTA

Datos de identificación, ubicación y contacto del Responsable. del Tratamiento de la base de datos; Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos; Canales para que los titulares ejerzan sus derechos; Nombre y finalidad de la base de datos; Forma de Tratamiento de la base de datos (manual y/o automatizada), y Política de Tratamiento de la información.

Información Minima

Cuando el Responsable del Tratamiento de la base de datos sea una persona jurídica, deberá indicar su denominación o razón social y su número de identificación tributaria; así como sus datos de ubicación y contacto. Cuando el Responsable del Tratamiento sea una persona natural, inscribirá sus datos de identificación, ubicación y contacto.

Responsable del tratamiento

Son los medios de recepción y atención de peticiones, consultas y reclamos que el Responsable del Tratamiento y el Encargado del Tratamiento deben poner a disposición de los Titulares de la información, con los datos de contacto respectivos, por medio de los cuales el Titular puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos personales contenidos en bases de datos y revocar la autorización que haya otorgado para el Tratamiento de los mismos, cuando esto sea posible. Estos canales deben prever, por lo menos, la posibilidad de que el Titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información, dejando constancia de la recepción y trámite de la respectiva solicitud.

Canales para ejercer derechos

PLAZO PARA INSCRIPCION

Articulo 12 y 14 Decreto 886 de 2014

Inscripción: Los Responsables del Tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos dentro del año siguiente. a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de Datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación. Actualización: Los Responsables del Tratamiento de las bases de datos deberán actualizar en el Registro Nacional de Bases de Datos la información inscrita cuando haya cambios· sustanciales, según sean definidos por la Superintendencia de Industria y Comercio.

Estrategia Integral de Privacidad

ESTRATEGIA INTEGRAL DE PRIVACIDAD

Datos personale

s

Auditoría y Consultoría Técnico –

Legal

Controles Técnicos

Formación

Registro, Seguimiento y Reportes (SI)

Identificar las bases de datos, tratamientos y responsables.

Revisar el cumplimiento del deber de información y obtención de la autorización.

Revisar contratos internos y externos.

Revisar los controles técnicos existentes.

Evaluar la efectividad de las medidas de proteccioón implementadas.

Evaluar el conocimiento del personal sobre

seguridad y protección de datos.

AUDITORÍA TÉCNICO - LEGALANÁLISIS DE LA SITUACIÓN ACTUAL

36

AUDITORÍA TÉCNICO - LEGALIMPLEMENTACIÓN DEL PLAN DE PROTECCIÓN

Elaborar políticas

de tratamien

to de datos

personales.

Elaborar contratos

con los encargados

del tratamiento

.

Definir e implement

ar controles técnicos.

Formación

integral.

CONTROLES TÉCNICOS

PROTECCION DEL ACCESO

PROTECCION DE LOS DATOS

• Autenticación fuerteProtección del acceso

Protección de los datos

• Cifrado• Tokenizacio

n• Monitoreo

uso BBDD• Fuga de

datosMovilidad y acceso remoto

• Acceso remoto seguro

• Protección de dispositivos móviles (BYOD)

FORMACIÓN

• Concientización en protección de datos

• Curso experto en protección de datos

• Concientización en seguridad

• Curso implantador ISO 27000

• Curso auditoría ISO 27000

• Curso Lead Auditor ISO 27000

• Atención y gestión de derechos

• Gestión de la documentación

• Procedimientos y políticas

• Gestión de autoevaluación y auditorías internas

• Identificacion del nivel de riesgo de los datos

• Gestión e identificación de bases de datos

REGISTRO, SEGUIMIENTO Y REPORTES - PLATAFORMAS DE GESTION EN PDP

Plataforma para la gestión integral de las normas de protección de datos.

GRACIAS

Preguntas? Inquietudes?

Iván Darío Marrugo J.Abogado

Socio. MR & AsociadosConsultor en Protección de Datos Personales

Twitter: @imarrugoj