2. Vulnerabilidad de la información
ALGUNOS CASOS DE DATOS SENSIBLES…
– Pasado judicial.
– Datacrédito y CIFIN.
– Sistema Nacional de Seguridad Social.
– Fasecolda.
– Reality shows.
– Secreto profesional (Periodistas, Médico, Abogados, Sacerdotes…)
– Establecimientos educativos.
– Establecimientos comerciales.
…LA CLAVE ES EL CONSENTIMIENTO DEL TITULAR DE LOS DATOS
4. Marco jurídico
Derecho al hábeas data:
Facultad que tiene toda persona a conocer, actualizar y rectificar la
información que sobre ella se haya recogido en archivos y bancos de datos de
naturaleza pública o privada.
(Sentencia C-1011/08)
Artículo 15 de la Constitución Política:
“Todas las personas tienen derecho a su intimidad personal y familiar y a su
buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades
públicas y privadas” .
5. Marco jurídico
(Hacer clic sobre cada figura)
•Ley 79 de 1993
– Bases de datos del DANE.
•Ley 1266 de 2008
– Protección de datos financieros e información crediticia.
•Ley 1273 de 2009
– Delitos informáticos.
•Ley 1581 de 2012
– Desarrollo general del habeas data.
6. Ley 1266 - Aspectos relevantes :
El reporte de la información negativa a los operadores sólo procede
previa comunicación al titular y una vez transcurridos veinte (20) días
calendario después del envío de la comunicación.
La “información positiva” permanecerá de manera indefinida.
La “información negativa” permanecerá el doble de la mora si esta es
inferior a dos (2) años y máximo cuatro (4) años si la mora es superior.
El tiempo se cuenta desde la puesta al día o la cancelación de la
obligación. Igualmente se mantendrá por cuatro (4) años después de que la
obligación se extinga por cualquier modo. Ej.: prescripción,
compensación, novación, confusión, etc.
7. Ley 1581 de 2012
Aplica a todas las bases de datos, excepto a:
Bases de datos o archivos mantenidos en un ámbito exclusivamente personal o
doméstico
Bases de datos que tienen por finalidad la seguridad y defensa nacional y la
prevención y control del lavado de activos y financiamiento del terrorismo.
Bases de datos de inteligencia y contrainteligencia.
Bases de datos y archivos periodísticos y otros contenidos editoriales.
Bases de datos reguladas por la Ley 1266 de 2008 .
Bases de datos del DANE.
8. Consultas - Reclamos - Quejas:
Las consultas pueden ser verbales, por escrito o por cualquier canal de
comunicación. Deben resolverse “de fondo” máximo dentro de los diez (10)
días hábiles siguientes, prorrogables por otros cinco (5) días.
Los reclamos deben presentarse por escrito y debidamente soportados.
Deben resolverse dentro de los quince (15) días hábiles siguientes,
prorrogables por otros ocho (8) días.
Agotados los procedimientos anteriores puede acudirse en queja ante la
Superintendencia respectiva.
Nada de lo anterior excluye el derecho de acudir a la Acción de Tutela.
9. Vigilancia y sanciones
Ley 1266 de 2008
La Superintendencia de Industria y
Comercio y la Superintendencia Financiera
son las entidades competentes para la
vigilancia y podrán imponer las siguientes
sanciones:
Multas hasta por un monto de 1.500 smmlv.
Suspensión de las actividades de los bancos
de datos, hasta por un término de 6 meses.
Cierre o clausura de operaciones del banco
de datos, cuando se incumpla lo que se
impuso con la suspensión temporal.
Cierre inmediato y definitivo cuando el
banco de datos administra datos prohibidos.
Ley 1581 de 2012
La Superintendencia de Industria y
Comercio es la competente para la
vigilancia, y puede imponer las siguientes
sanciones:
Multas de carácter personal e institucional
hasta por 2000 SMLMV.
Suspensión de actividades relacionadas con
el tratamiento hasta por 6 meses y
obligación de aplicar correctivos.
Cierre temporal de las operaciones si no se
adoptan los correctivos.
Cierre inmediato y definitivo de la operación
que involucre el tratamiento de datos
sensibles.
12. LEY 1273 DE 2009
(Ley de delitos informáticos)
ARTÍCULO 269-B.
OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA
INFORMÁTICO O RED DE TELECOMUNICACIÓN.
El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa
de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la
conducta no constituya delito sancionado con una pena mayor.
13. ARTÍCULO 269-C.
INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
El que, sin orden judicial previa intercepte datos informáticos en
su origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático
que los transporte, incurrirá en pena de prisión de treinta y seis (36) a
setenta y dos (72) meses.
14. ARTÍCULO 269-D.
DAÑO INFORMÁTICO.
El que, sin estar facultado para ello, destruya, dañe, borre,
deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis
(96) meses y en multa de 100 a 1.000 salarios mínimos legales
mensuales vigentes.
15. ARTÍCULO 269-F.
VIOLACIÓN DE DATOS PERSONALES.
El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga,
compile, sustraiga, ofrezca, venda, intercambie,
envíe, compre, intercepte, divulgue, modifique o
emplee códigos personales, datos personales
contenidos en ficheros, archivos, bases de datos o
medios semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y
en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
16. ARTÍCULO 269-G.
SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS
PERSONALES.
El que con objeto ilícito y sin estar facultado para ello, diseñe,
desarrolle, trafique, venda, ejecute, programe o envíe páginas
electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión
de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1.000 salarios mínimos legales mensuales vigentes, siempre que la
conducta no constituya delito sancionado con pena más grave.
En la misma sanción incurrirá el que modifique el sistema de resolución
de nombres de dominio, de tal manera que haga entrar al usuario a una IP
diferente en la creencia de que acceda a su banco o a otro sitio personal o
de confianza, siempre que la conducta no constituya delito sancionado con
pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera
parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la
cadena del delito.
17. (*) ARTICULO 239. HURTO.
El que se apodere de una cosa mueble ajena, con
el propósito de obtener provecho para sí o para
otro, incurrirá en prisión de treinta y dos (32) a
ciento ocho (108) meses.
La pena será de prisión de dieciséis (16) a treinta y
seis (36) meses cuando la cuantía no exceda de
diez (10) salarios mínimos legales mensuales
vigentes.
ARTÍCULO 269-I.
HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.
El que, superando medidas de seguridad informáticas, realice la conducta
señalada en el artículo 239 (*) manipulando un sistema informático, una red
de sistema electrónico, telemático u otro medio semejante, o suplantando a
un usuario ante los sistemas de autenticación y de autorización establecidos,
incurrirá en las penas señaladas en el artículo 240 de este Código. (6 a 14
años)
18. ARTÍCULO 269J.
TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.
El que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consiga la
transferencia no consentida de cualquier activo en perjuicio de
un tercero, siempre que la conducta no constituya delito
sancionado con pena más grave, incurrirá en pena de prisión de
cuarenta y ocho (48) a ciento veinte (120) meses y en multa de
200 a 1.500 salarios mínimos legales mensuales vigentes.
La misma sanción se le impondrá a quien fabrique, introduzca,
posea o facilite programa de computador destinado a la
comisión del delito descrito en el inciso anterior, o de una estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una
cuantía superior a 200 salarios mínimos legales mensuales, la
sanción allí señalada se incrementará en la mitad.