Presentación de PowerPoint - cancilleria.gov.co · personas o a la sociedad en general ... por la...
Transcript of Presentación de PowerPoint - cancilleria.gov.co · personas o a la sociedad en general ... por la...
Título
Régimen de protección de datos personales
en Colombia
Delegatura para la Protección de Datos Personales
2015
MARCO CONSTITUCIONAL
Artículo 15 de la Constitución Política:
“Todas las personas tienen derecho a su intimidad personal y familiar y a
su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De
igual modo, tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de
datos y en archivos de entidades públicas y privadas” .
En la recolección, tratamiento y circulación de datos se respetarán
la libertad y demás garantías consagradas en la Constitución.”
Regulación en
materia de hábeas data
D.R. 1377 de 2013 Reglamenta parcialmente Ley 1581
D.R 886 de 2014 Reglamenta Registro Nacional Bases de Datos
D.R. 2952 de 2010 D.R. 1727 de 2009
¿QUE ES UN DATO PERSONAL?
Ley 1266 de 2008 : Cualquier pieza de información vinculada a una o
varias personas determinadas o determinables o que puedan asociarse
a una persona natural o jurídica. Los datos impersonales no se
sujetan al régimen de protección de datos de la presente ley.
Ley 1581 de 2012: Cualquier información vinculada o que pueda
asociarse a una o varias personas naturales determinadas o
determinables.
6
Ámbito de aplicación
La ley se aplica al tratamiento de datos personales
efectuado por entidades públicas o privadas,
dentro del país o cuando el Responsable o
Encargado no establecido en territorio nacional le
sea aplicable la legislación colombiana en virtud
de normas y tratados internacionales.
7
Exclusiones
Bases de datos o archivos mantenidos en un ámbito exclusivamente
personal o doméstico
Bases de datos que tengan por finalidad la seguridad y defensa
nacional y la prevención, y control del lavado de activos y
financiamiento del terrorismo.
Bases de datos de inteligencia y contrainteligencia.
Bases de datos y archivos periodísticos y otros contenidos
editoriales.
Bases de datos reguladas por la Ley 1266 de 2008 (datos
financieros – crediticios).
Bases de datos del DANE (Ley 79 de 1993).
8
Principios
Ley 1581 de 2012
Legalidad
Finalidad
Libertad
Veracidad o calidad
Transparencia
Acceso y circulación restringida
Seguridad
Confidencialidad
Sujetos en el Tratamiento
TITULAR
Persona natural cuyos
datos personales son
objeto del tratamiento
RESPONSABLE
DATOS PERSONALES
ENCARGADO
Persona natural o
jurídica, pública o
privada que
decide sobre la
base de datos y/o
tratamiento
Persona natural o
jurídica, pública o
privada que realice
el tratamiento de
datos personales por
cuenta del
Responsable
Clasificación de datos personales(Ley 1266 de 2008 y Decreto 1377 de 2013)
Dato Público: Calificado como tal en la ley. Dato que no es semiprivado,
privado o sensible (Ej. datos relativos al estado civil de las personas, su
profesión u oficio, su calidad de comerciante o servidor público y aquellos
que pueden obtenerse sin reserva alguna).
Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni
pública y cuyo conocimiento interesa al titular y a cierto sector o grupo de
personas o a la sociedad en general (Ej. datos financieros y crediticios,
dirección, teléfono, correo electrónico,).
Datos privado: Dato que solo es relevante para su titular (Ej. fotografías,
videos, datos relacionados con su estilo de vida.)
Dato sensible: Categoría especial de datos personales.
11
Categorías especiales de datos
Datos sensibles
Aquellos que afectan la intimidad de la personas o cuyo
uso indebido puede generar discriminación. (Origen
racial o étnico, orientación política, convicciones
filosóficas o religiosas, pertenencia a sindicatos u
organizaciones sociales o de derechos humanos, datos
de salud, vida sexual y biométricos).
13
Tratamiento de Datos Sensibles
Está prohibido su tratamiento, a excepción de estos
casos:
Autorización explicita del titular
Salvaguarda de interés vital del titular
Actividades legítimas por fundaciones, ONG,
asociación u organismo sin ánimo de lucro
Reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial
Finalidad histórica, estadística o científica (anonimizar)
14
Autorización tratamiento de Datos Sensibles
No obligación de autorizar
tratamiento
No puede condicionarse
una prestación a la autorización
Informar al titular cuáles de
los datos recogidos son sensibles y la
finalidad
15
Categorías especiales de datos
Datos personales de menores
Se proscribe el tratamiento de datos personales de menores de edad
salvo aquellos datos que sean de naturaleza pública.
La Corte Constitucional precisó que tal prohibición debe interpretarse
en el sentido de que los datos personales de los menores de 18 años
pueden ser tratados, siempre y cuando no se ponga en riesgo la
prevalencia de sus derechos fundamentales e inequívocamente
responda a la realización del principio de su interés superior.
16
Derechos de los titulares
• Conocer, actualizar y rectificar sus datos personalesfrente a Responsables y Encargados
• Solicitar prueba de la autorización al Responsable
• Ser informado respecto del uso de los datos
• Presentar quejas ante la SIC
• Revocar la autorización y/o solicitar la supresión deldato (no procede si el titular tiene el deber legal ocontractual de permanecer en la base de datos), y
• Acceder en forma gratuita a sus datos personales
17
Autorización del titular
El Responsable debe informar al titular:
El tratamiento que se da a los datos personales y lafinalidad
El carácter facultativo de respuestas cuando hay datossensibles o de menores
Los derechos que le asisten al titular
La identificación, dirección física o electrónica y teléfonodel Responsable del tratamiento de datos
Delegatura para la Protección de Datos Personales
18
Autorización del titular
Modos de obtener la autorización
Por cualquier medio que permita su consulta posterior:
Por escrito.
De forma oral.
Mediante conductas inequívocas del titular que permitanconcluir de manera razonable que el titular otorgoautorización.
EN NINGÚN CASO EL SILENCIO PODRÁ ASIMILARSE A
UNA CONDUCTA INEQUÍVOCA.
Delegatura para la Protección de Datos Personales
Régimen de transición
El artículo 10 del Decreto 1377 instrumenta el régimen de transición ordenado
por la Ley 1581 y avalado por la Corte Constitucional. Frente a las bases de
datos preexistentes a la expedición del Decreto, prevé que:
• Los responsables que no cuenten con la autorización deberán comunicarse
de manera directa con los titulares para solicitar consentimiento expreso. Si
transcurren 30 días hábiles y el titular no se pronuncia, puede continuarse el
tratamiento, sin perjuicio de la posibilidad del titular, en cualquier tiempo,
de ejercer su derecho de hábeas data.
• De forma excepcionalísima, se permitió la publicación de avisos en prensa o
página web. (Esta venció un mes después de expedido el Decreto).
• El tratamiento solo podrá hacerse para las mismas finalidades que dieron
origen a la recolección inicial.
20
Deberes de los Responsables del
Tratamiento
• Relacionados con los principios de libertad y finalidad:Solicitar y conservar la autorización, suministrar al encargadoúnicamente los datos autorizados e informar al titular la finalidadde la recolección y los derechos que le asisten.
• Relacionados con el principio de veracidad: Calidad de lainformación, actualización y rectificación.
• Relacionados con los principios de seguridad yconfidencialidad: Conservar la información bajo condiciones deseguridad e informar la violación a los códigos de seguridad yexistencia de riesgos en la administración de la información.
Delegatura para la Protección de Datos Personales
21
Deberes de los Responsables del
Tratamiento
• Relacionados con la garantía al ejercicio del derecho de hábeasdata del titular, el principio de transparencia y el principio deacceso y circulación restringida: Adoptar un manual de políticasy procedimientos (recolección, tratamiento y supresión de lainformación y atención de consultas y reclamos); poner a disposicióndel titular las políticas de tratamiento ya sea directamente omediante el aviso de privacidad; tramitar consultas y reclamos einformar a solicitud del titular sobre el uso dado a sus datos.
Delegatura para la Protección de Datos Personales
22
Deberes de los Encargados del
Tratamiento
• Seguridad de la información: impedir la adulteración,pérdida, consulta, uso o acceso no autorizado o fraudulento,adoptar un manual interno de políticas y procedimientos einformar a la autoridad cuando se presenten violaciones a loscódigos de seguridad que generen riesgos en laadministración de la información.
• Calidad de la información: realizar oportunamente laactualización, rectificación o supresión de los datos erróneos,actualizar la información reportada por los responsablesdentro de los 5 días hábiles contados a partir de su recibo,registrar en la base las leyendas de «reclamo en trámite» e«información en discusión judicial» y abstenerse de circularinformación controvertida y cuyo bloqueo haya sido ordenadopor la Superintendencia de Industria y Comercio.
Delegatura para la Protección de Datos Personales
23
Deberes de los Encargados del
Tratamiento
• Acceso y circulación restringida: Debe permitir elacceso a la información únicamente a las personas quepuedan tener acceso a ella, en los términos señalados enla ley.
• Garantía al ejercicio del derecho de hábeas data deltitular: Debe garantizar al titular, en todo tiempo, el plenoy efectivo ejercicio de su derecho de hábeas data ytramitar las consultas y reclamos presentados, en lostérminos señalados en la ley.
Delegatura para la Protección de Datos Personales
24
Procedimientos
• Se establecen los mismos procedimientos
previstos en la Ley 1266 de 2008: Consultas y
reclamos.
• Se permite definir términos inferiores para las
consultas en leyes o reglamentos, atendiendo la
naturaleza del dato.
• Se conserva el requisito de procedibilidad
para elevar queja ante la SIC.
Delegatura para la Protección de Datos Personales
25
Responsabilidad demostrada
(Accountability)Decreto 1377 de 2013
Es un desarrollo del principio de transparencia.
El Responsable debe estar en la capacidad de demostrarle a la SIC que ha
implementado las medidas apropiadas y efectivas para cumplir con los
deberes que le impone la Ley en función de su naturaleza y tamaño, tipo de
tratamiento y riesgos derivados del mismo para los titulares.
El Responsable debe demostrar que ha implementado medidas y políticas
específicas para el manejo adecuado de los datos personales.
Delegatura para la Protección de Datos Personales
POLÍTICAS INTERNAS EFECTIVAS (DECRETO 1377 DE 2013)
Las políticas implementadas por los responsables deben garantizar:
• La existencia de una estructura administrativa proporcional a la
estructura y tamaño empresarial del responsable para la adopción
e implementación de políticas consistentes con la Ley 1581.
• La adopción de mecanismos internos para poner en prácticas
estas políticas incluyendo herramientas de implementación,
entrenamiento y programas de educación.
• La adopción de procesos para la atención y respuesta a
consultas, peticiones y reclamos.
La verificación por parte de la SIC de la existencia de medidas y
políticas específicas para el manejo adecuado de datos personales
que administra un responsable será tenida en cuenta al momento de
evaluar la imposición de sanciones
27
Normas corporativas vinculantes
Corresponde al Gobierno Nacional expedir la
reglamentación sobre Normas Corporativas Vinculantes
para la certificación de buenas practicas en protección de
datos personales y su transferencia a terceros países.
Delegatura para la Protección de Datos Personales
28
Registro Nacional de Bases de Datos
• Directorio público de las bases de datos sujetas aTratamiento que operan en el país.
• Permitirá conocer:
- Realidad de las bases de datos del país
- Flujo y tipo de datos
- Quién o quiénes adelantan su tratamiento
- Finalidad y
- Políticas de tratamiento
• Sujeto a reglamentación (Decreto 886 de 2014)
Delegatura para la Protección de Datos Personales
29
Qué pasos seguir?
• Inventario: identifique sus bases de datos
Cuáles son
Información que contienen
Manejan o no datos sensibles
• Elabore su política de tratamiento y aviso de privacidad
• Asigne un responsable del manejo de la información
• Adopte medidas de seguridad adecuadas evitando:
Adulteración de información
Pérdida de información
Consultas o accesos no autorizados
Delegatura para la Protección de Datos Personales
30
En relación con el manejo de la información
• Diseñe protocolos de recolección, almacenamiento, uso ycirculación de la información
• Inscriba sus bases de Datos en el Registro Nacional
Delegatura para la Protección de Datos Personales
Ámbito Penal - Ley 1273 de 2009
Artículo 269F: Violación de datos personales. El que,
sin estar facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique
o emplee códigos personales, datos personales contenidos
en ficheros, archivos, bases de datos o medios
semejantes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales mensuales vigentes.
Delegatura para la Protección de Datos Personales
• Creación: Decreto 4886 de 2011 (Reestructuración)
• Estructura:- Despacho Delegado
- Dirección (1ª. Instancia)
• Grupos internos de trabajo:- De Hábeas Data
- De Investigaciones Administrativas
33
Título o subtítulo
TRÁMITES A CARGO DE LA DELEGATURA:
• Investigaciones de carácter sancionatorio:
- Imponer sanciones u ordenar medidas
• Reclamos para proteger el derecho de hábeas
data:
- Ordenar corrección, actualización o retiro
de datos personales
34
28/05/2015 35
Sanciones
• Multas de carácter personal e institucional hasta por2000 SMLMV.
• Suspensión de actividades relacionadas con eltratamiento hasta por 6 meses. En acto de cierre seindicarán los correctivos.
• Cierre temporal de las operaciones si no se adoptanlos correctivos.
• Cierre inmediato y definitivo de la operación queinvolucre el tratamiento de datos sensibles.
Sólo aplican a personas de naturaleza privada. Frente aautoridades públicas se remitirá actuación a laProcuraduría General de la Nación.
Delegatura para la Protección de Datos Personales