1. RESPONSABILIDADES DE LAS
ORGANIZACIONES EN MATERIA
DE HABEAS DATA
Heidy Balanta. Abogada.
Especialista en Derecho
Informático y Nuevas
Tecnologías
www.derechoinformatico.co
2. MARCO LEGAL DE PROTECCIÓN
DE DATOS Y DE LA
INFORMACIÓN EN COLOMBIA
Ley/Sentencia Tema
Ley 1266 de 2008 Habeas Data Financiero
Ley 1581 de 2012 Habeas Data (Protección Datos
personales)
Ley 1273 de 2009 Delitos Informáticos
Ley 1480 de 2011 Protección al consumidor en el comercio
electrónico
Le 527 de 1999 Validez Jurídica de los mensajes de datos
Decreto 1377 de 2013 Se reglamenta parcialmente la ley 1581
Decreto 886 de 2014 Registro Nacional de Bases de Datos
3. LEY 1581 DE 2012
Criterios objetivos
Cumplimiento interno de la norma
Políticas de
Protección de Datos
Modificación de
contratos y acuerdos
Canales de
comunicación
Internos y Externos
4. CUMPLIMIENTO INTERNO DE LA NORMA
Deber Si Cumple Todavía NO
Prueba de la autorización otorgada por el
titular
Información sobre la finalidad de la
recolección y los derechos que tiene
Conservación de la información bajo medidas
de seguridad
Garantizar que los datos estén actualizados,
exactos, completos, comprobados y
comprensibles
Generar medidas necesarias para mantener
actualizada la información
Manual interno de políticas y procedimientos
5. POLÍTICA DE TRATAMIENTO
DE LA INFORMACIÓN
1. Datos de identificación del responsable o encargado de la
información personal
2. Definir a que tipo de tratamiento estará sometido los datos
personales
3. Derechos que le asisten al titular del dato
4. Definición del área responsable para la atención de PQRC
5. Procedimiento para que los titulares puedan solicitar la
actualización, supresión, rectificación y revocación de los datos
personales
6. Fecha de entrada en vigencia de la política y periodo de vigencia de
la base de datos
6. MODIFICACIÓN DE
CONTRATOS O ACUERDOS
Contratos de Trabajo
Contratos de prestación de servicios
Contratos de tercerización para el manejo de información
confidencial
Políticas de Seguridad de la Información
Políticas de Términos y Condiciones de sitios web
8. LEY 1581 DE 2012
Criterios subjetivos
Tipo de dato sujeto a tratamiento
Medidas generales Medidas especificas
Tratamiento
Encargado/Responsable
9. TIPO DE DATO SUJETO A
TRATAMIENTO
Dato
Público
Dato
Semiprivado
Dato
Privado
Dato
Sensible
Cumplimiento de los Principios Generales para el Tratamiento de Datos
Personales
Cumplimiento particular de cada tipo de datos y niveles de seguridad. No es lo
mismo proteger un dato sensible o uno semiprivado
Medidas Generales
Medidas Especificas
10. DESIGNACIÓN DE ÁREA O
PERSONA RESPONSABLE
Todo Responsable y Encargado deberá designar a una persona
o área que asuma la función de protección de datos personales,
que dará trámite a las solicitudes de los Titulares, para el
ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y
el presente decreto.
11. EN CASO DE QUE SOLICITEN INFORMACIÓN
PERSONAL Y SEA COMPLEJO SUMINISTRAR LA
POLÍTICA DE TRATAMIENTO DE DATOS, SE
REALIZA A TRAVÉS DEL
AVISO DE PRIVACIDAD (acreditar la puesta a disposición)
Debe contener:
1. Nombre y razón social y datos de contacto del responsable del
tratamiento de datos
2. El Tratamiento al cual serán sometidos los datos y la finalidad del
mismo
3. Los derechos que tiene el titular sobre sus datos
4. Los mecanismos que ha dispuesto el responsable para que el
titular conozca la política de protección de tratamiento de la
información
1. En caso de recolectar datos sensibles, se debe expresar el carácter facultativo de
las respuestas a las preguntas sobre dichos datos.
12. RESPONSABILIDAD DEMOSTRADA
FRENTE AL TRATAMIENTO DE DATOS
PERSONALES
La empresa debe tener capacidad de demostrar en cualquier momento, ante
un requerimiento de la SIC, lo siguiente:
1. La naturaleza de los datos personales objeto de tratamiento
2. El tipo de tratamiento y la explicación sobre la necesidad de recolectar los
datos en cada caso
3. Riesgos potenciales que el tratamiento podrían causar sobre los derechos
de los titulares
4. Suministrar una descripción de los procedimientos usados para la
recolección de los datos personales
5. Descripción de las finalidades para las cuales esta información es
recolectada y una explicación sobre la relevancia de los datos
6. Suministrar evidencia sobre la implementación efectiva de las medidas de
seguridad apropiada
13. EFECTIVIDAD DE LAS POLÍTICAS
INTERNAS DE PROTECCIÓN DE
DATOS PERSONALES
1. Al interior de la empresa debe existir una estructura administrativa
proporcional a la estructura y tamaño empresarial para la adopción
de las políticas internas del tratamiento de datos personales
2. Adopción de mecanismos internos para poner en practica las
políticas, como herramientas de implementación, entrenamiento, y
programas de educación
3. La adopción de procesos para la atención a las PQRC respecto al
tratamiento de datos personales
14. REGISTRO NACIONAL DE
BASES DE DATOS
1. Datos de identificación, ubicación y contacto del Responsable del
Tratamiento de la base de datos
2. Canales para que los titulares ejerzan sus derechos;
3. Nombre y finalidad de la base de datos;
4. Forma de Tratamiento de la base de datos (manual y/o
automatizada)
5. Política de Tratamiento de la información.
15. EN CASO DE QUE EL
TRATAMIENTO DE DATOS
PERSONALES LO REALICE UN
TERCERO
1 Suministrar al Encargado del Tratamiento, según el caso,
únicamente datos cuyo Tratamiento esté previamente autorizado
de conformidad con lo previsto en la presente ley;
2 Exigir al Encargado del Tratamiento en todo momento, el respeto a
las condiciones de seguridad y privacidad de la información del
Titular;
3 En el contrato o acuerdo que se fija el tratamiento de datos
personales, debe dejarse claro las responsabilidades del encargado
y del responsable de la información personal (Corte Constitucional)
16. ¿QUÉ HACER EN CASO DE
VIOLACIÓN DE LAS MEDIDAS DE
SEGURIDAD DISPUESTAS PARA
INFORMACIÓN PERSONAL?
Debe:
1. Informar a la autoridad de protección de datos cuando se
presenten violaciones a los códigos de seguridad y existan riesgos
en la administración de la información de los Titulares.
2. Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.