La Protección de Datos personales en el ámbito laboral Colombiano.

1. Ivan Dario Marrugo Jimenez
Socio. Marrugo Rivera & Asociados, Estudio
Jurídico
Twitter: @imarrugoj
Bogotá D.C. Abril 23 de 2014

2.  Un agrio contexto…
 Nuestro Modelo de Protección de
Datos
 Privacidad en el ámbito laboral.
 Conclusiones
 Preguntas

4.  Habeas Data vs. Protección de datos
personales.
 Es un sistema Mixto: Coexisten 2 normas.
(Colisión normativa)
 Declarada constitucional por la Corte
mediante sentencia c-748 de 2011
 Sistema de principios.
 Aplicable a cualquier dato contenido en una
BD que sea susceptible de tratamiento.

5.  30 artículos. 9 Títulos.
 Reglamentación parcial.
◦ Decreto 1377 de 2013.
◦ P. Decreto RNBD
◦ Normas corporativas vinculantes
◦ Criterios de Seguridad
 Generalidades.
 Categorías especiales.

6. El derecho constitucional que tienen todas las
personas a :
Conocer
Actualizar
Rectificar
Las informaciones que se
hayan recogido sobre ellas
en bases de datos o
archivos
Derecho a la Información: ART. 20. Se garantiza a toda
persona la libertad de (…) informar y recibir información
veraz e imparcial (…)

7.  Datos personales registrados en cualquier
base de datos que sean susceptibles de
tratamiento por entidades públicas y privadas

8. Basesdedatosoarchivos
Ámbito exclusivamente
personal o doméstico.
Que tengan por finalidad la
seguridad y defensa
nacional
Inteligencia y
contrainteligencia
Periodística y otros
contenidos editoriales;
regulados por la Ley 1266
de 2008
regulados por la Ley 79 de
1993.

9. Autorización
Bases de
datos
Dato
personal
Encargado del
Tratamiento
Responsable del
Tratamiento
Titular
Tratamiento
Conceptos claves

10. Legalida
d
Finalida
d
libertad
Calidad
o
veracida
d
Transparenci
a
Acceso y
circulación
restringida
Segurida
d
Confidencialidad
Principios

11. Datos sensibles
 Afectan la intimidad del titular
 Su uso indebido pueden generar
discriminación
 Datos relativos a la salud, vida sexual y datos
biométricos
Esta prohibido el tratamiento de datos
sensibles, salvo las excepciones que establece
la ley.

12. Queda proscrito el Tratamiento de datos personales de
niños, niñas y adolescentes, salvo aquellos datos que
sean de naturaleza pública.
La especial protección que se da a los datos personales
de niños, niñas y adolescentes, es una proyección
razonable que se desprende de su condición de sujetos
que gozan de una especial protección constitucional.
El Gobierno Nacional reglamentará la materia, dentro de
los seis (6) meses siguientes a la promulgación de esta
ley.

13. Art. 9. Ley 1581 de 2012
Siempre?, se requerirá la autorización previa e
informada del Titular, la cual deberá ser
obtenida por cualquier medio que pueda ser
objeto de consulta posterior.

14.  A voces de nuestro sistema es un requisito
obligatorio y el elemento habilitante para el
tratamiento.
 Plenamente consonante con los principios de
Libertad y Finalidad de la Ley.
 La ley regula la expresión del consentimiento:
Libre, previo y expreso.

15.  Desde allí, se ha dicho entonces que los datos personales sólo
pueden ser registrados y divulgados con el consentimiento libre,
previo y expreso del titular. La Corporación ha relacionado el
principio de libertad, con la prohibición del manejo de la
información adquirida de manera ilícita, de tal forma que se
encuentra prohibida la obtención y divulgación de los mismos, sin la
previa autorización del titular o en ausencia de mandato legal o
judicial. Así, en la sentencia SU-082 de 1995, afirmó: "los datos
conseguidos, por ejemplo, por medios ilícitos no pueden hacer parte
de los bancos de datos y tampoco pueden circular.” En el mismo
sentido, en la Sentencia T-176 de 1995, se consideró como una de
las hipótesis de la vulneración del derecho al habeas data el de la
recolección de la información "de manera ilegal, sin el
consentimiento del titular de dato."

16.  Art. 4. Lit. C. Principio de libertad: El Tratamiento
sólo puede ejercerse con el consentimiento,
previo, expreso e informado del Titular. Los
datos personales no podrán ser obtenidos o
divulgados sin previa autorización, o en ausencia
de mandato legal o judicial que releve el
consentimiento.
 Art. 9 Ley 1581: Sin perjuicio de las excepciones
previstas en la ley, en el Tratamiento se requiere
la autorización previa e informada del Titular, la
cual deberá ser obtenida por cualquier medio
que pueda ser objeto de consulta posterior.

17.  El Parlamento Europeo y del Consejo Europeo
se refiere específicamente al consentimiento
y lo define como “toda manifestación de
voluntad, libre, específica e informada,
mediante la que el interesado consienta el
tratamiento de datos personales que le
conciernan.”
 Tenemos entonces que es una manifestación
cualificada.

18.  Libre: Según el Código civil debe estar exento
de error, fuerza o dolo.
 Expreso: sinónimo de inequívoco?? Claro, que
no admita duda.
 Informado: Requisito de validez. Suficiencia y
pertinencia (Finalidades)

19. La información solicitada podrá ser
suministrada por cualquier medio, incluyendo
los electrónicos, según lo requiera el Titular.

20. Incongruencia entre
la finalidad y el
tratamiento:
Autorización
abierta.
Por parte de los responsables y encargados:

21. Por parte de los responsables y encargados:
 Incongruencia entre la libertad y el
tratamiento: Autorización ilegal.

22. Por parte del titular:
 Desconocimiento de cuando otorgó la
Autorización. Art. 10 Decreto 1377 de 2013.
 Imposibilidad de Acceso a su información.
Caso Datacredito.

23.  Autorización de trabajadores.
 Autorización de datos de menores de edad.
 Videovigilancia.
 Datos sensibles. Concepto: Datos miembros
ONG´s, fundaciones o asociaciones.

24.  Información requerida por una entidad pública o administrativa
en ejercicio de sus funciones legales o por orden judicial;
 Datos de naturaleza pública;
 Casos de urgencia médica o sanitaria;
 Tratamiento de información autorizado por la ley para fines
históricos, estadísticos o científicos;
 Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización
previa deberá en todo caso cumplir con las disposiciones
contenidas en la presente ley.

25.  La información que reúna las condiciones
establecidas en la ley de protección de datos,
podrá suministrarse a las siguientes personas:
a. A los Titulares, sus causahabientes o sus
representantes legales;
b. A las entidades públicas o administrativas en
ejercicio de sus funciones legales o por orden
judicial;
c. A los terceros autorizados por el Titular o por la
ley.

26.  Garantizar al Titular, en todo tiempo, el pleno y efectivo
ejercicio del derecho de hábeas data
 Solicitar y conservar, en las condiciones previstas en la
presente ley, copia de la respectiva autorización otorgada por
el Titular
 Informar debidamente al Titular sobre la finalidad de la
recolección y los derechos que le asisten por virtud de la
autorización otorgada
 Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta,
uso o acceso no autorizado o fraudulento;
 Actualizar la información, comunicando de forma oportuna al
Encargado del Tratamiento.

27.  Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular;
 Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y en especial, para la atención de
consultas y reclamos;
 Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
 Informar a solicitud del Titular sobre el uso dado a sus datos;
 Informar a la autoridad de protección de datos cuando se presenten violaciones
a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares.
 Cumplir las instrucciones y requerimientos que imparta la Superintendencia de

28.  Garantizar al Titular, en todo tiempo, el pleno y efectivo
ejercicio del derecho de hábeas data;
 Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta,
uso o acceso no autorizado o fraudulento;
 Realizar oportunamente la actualización, rectificación o
supresión de los datos en los términos de la presente ley;
 Actualizar la información reportada por los Responsables del
Tratamiento dentro de los cinco (5) días hábiles contados a
partir de su recibo;
 Adoptar un manual interno de políticas y procedimientos para
garantizar el adecuado cumplimiento de la presente ley y, en
especial, para la atención de consultas y reclamos por parte
de los Titulares;

29.  Abstenerse de circular información que esté siendo controvertida por el
Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio;
 Permitir el acceso a la información únicamente a las personas que
pueden tener acceso a ella;
 Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los Titulares;
 Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.

30. Autoridad de Protección de Datos: Delegatura
para la Protección de Datos Personales de la
Superintendencia de Industria y Comercio
Ejerce la vigilancia para garantizar que en el
Tratamiento de datos personales se respeten
los principios, derechos, garantías y
procedimientos previstos en la presente ley.

31.  Velar por el cumplimiento de la legislación en materia de protección de
datos personales;
 Adelantar las investigaciones del caso, de oficio o a petición de parte y,
como resultado de ellas, ordenar las medidas que sean necesarias para
hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se
desconozca el derecho, podrá disponer que se conceda el acceso y
suministro de los datos, la rectificación, actualización o supresión de los
mismos;
 Disponer el bloqueo temporal de los datos cuando, de la solicitud y de
las pruebas aportadas por el Titular, se identifique un riesgo cierto de
vulneración de sus derechos fundamentales, y dicho bloqueo sea
necesario para protegerlos mientras se adopta una decisión definitiva;
 Proferir las declaraciones de conformidad sobre las transferencias
internacionales de datos;
 Administrar el Registro Nacional Público de Bases de Datos y emitir las
órdenes y los actos necesarios para su administración y funcionamiento;

32.  Multas de carácter personal e institucional hasta por el equivalente
de dos mil (2.000) salarios mínimos mensuales legales vigentes al
momento de la imposición de la sanción. Las multas podrán ser
sucesivas mientras subsista el incumplimiento que las originó;
 Suspensión de las actividades relacionadas con el Tratamiento hasta
por un término de seis (6) meses. En el acto de suspensión se
indicarán los correctivos que se deberán adoptar;
 Cierre temporal de las operaciones relacionadas con el Tratamiento
una vez transcurrido el término de suspensión sin que se hubieren
adoptado los correctivos ordenados por la Superintendencia de
Industria y Comercio;

33.  El Registro Nacional de Bases de Datos es el directorio público de
las bases de datos sujetas a Tratamiento que operan en el país.
 El registro será administrado por la Superintendencia de
Industria y Comercio y será de libre consulta para los
ciudadanos.
 Para realizar el registro de bases de datos, los interesados
deberán aportar a la Superintendencia de Industria y Comercio
las políticas de tratamiento de la información, las cuales
obligarán a los responsables y encargados del mismo, y cuyo
incumplimiento acarreará las sanciones correspondientes. Las
políticas de Tratamiento en ningún caso podrán ser inferiores a
los deberes contenidos en la presente ley.
 Parágrafo. El Gobierno Nacional reglamentará, dentro del año
siguiente a la promulgación de la presente ley, la información
mínima que debe contener el Registro, y los términos y
condiciones bajo los cuales se deben inscribir en este los
Responsables del Tratamiento.

34.  Ámbito de aplicación. Art. 1
 Criterios de manejo de BD.
 Plazos para la inscripción. Art. 12.

35.  Abrir el RNBD.
 Formular las directrices sobre Seguridad.
 Países con Nivel adecuado de Protección.
 Consolidar labores de supervisión y control
basado en el SISI.
 Mas concientización de los Sujetos obligados

36. Recomendaciones en los Contratos laborales,
administrativos y con terceros.

37. Hay un choque entre privacidad y las relaciones
Laborales?
Una encuesta del American Management
Association y el ePolicy Institute reveló
que dos tercios de los empleadores
monitorean las páginas de Internet que
visitan sus empleados con el fin de
evitar actividades inapropiadas. El 65
por ciento utiliza programas para
bloquear conexiones a sitios web que
son considerados inapropiados para los
empleados. Esto representa un aumento
del 27 por ciento, desde el 2001 cuando
la encuesta se llevo a cabo por primera
vez.
 Encuestas recientes revelan que la mayoría de los
empleadores monitorean a sus empleados. Esto se
debe en parte a que están preocupados de demandas y
otras cuestiones legales ya que la evidencia electrónica
está tomando un papel cada vez más protagónico en
demandas e investigaciones de agencias
gubernamentales.

38.  Búsqueda de datos de personas que solicitan
trabajo. Ej: Social intelligence.
 Redes sociales en el trabajo.
 Monitoreo de actividades de empleados.
 Despidos con información de fuentes
dudosas?
 De quien es lo que el trabajador hace?
 Hasta donde llega la intimidad del trabajador?

39. Información sobre el tratamiento de DP en:
 Selección de Personal.
 En la contratación.
 Durante el desarrollo de la relación.
 Datos sensibles laborales?: Sindicales,
Tendencias sexuales, Biometría?
 Control interno y denuncias.
 Gestión de nomina por encargo.

40.  Selección de Personal: Destrucción de
documentos y DP de descartados. Gestión
documental electrónica. TRD. Política de
Tratamiento Ley 1581.
 En la contratación: Solicitud de certificados
médicos, prueba de embarazo, polígrafo,
datos sensibles.

41.  En el desarrollo: Permisos. Actividad online.
Gustos. Redes sociales. Despidos.
 Control interno y denuncias: Sistema de
control conocido en la empresa (no puede ser
secreto). No denuncias anónimas.
Proporcionalidad. Extremar medidas de
seguridad y confidencialidad. Conservación
de los datos solo por el tiempo necesario.
Proveer informacion al denunciado sin
informar el nombre del denunciante.

42.  RR.HH cede datos a terceros: Ej: Planes
exequiales. Bancos que manejan la nomina.
Seguros de vida. OJO: Fondos de empleados.
 Externalización de asuntos relativos a la
relación laboral: Nomina. CTA´s. Bolsas de
empleo. Regulación por contrato de cesión de
datos personales.

43.  Atención a la información como activo
principal.
 Cuerpos normativos específicos: Acuerdo de
confidencialidad – Información reservada.
Política de tratamiento con detalle sobre la
actividad de recursos humanos. Política de
seguridad de la información – Política de
monitorización y controles.

44.  Conocimiento informado: Para desvirtuar la presunción de
privacidad que puede amparar al correo institucional, es
necesario que el empleado o dependiente tenga
conocimiento previo e informado de tal hecho, desde que
firma, suscribe o acepta las condiciones generales a las
que se somete en su relación laboral o legal.
 Es así como los contratos laborales, los de prestación de
servicios y todos los demás reglamentos que se
consideren necesarios deben dejar claro, desde el
principio, para el trabajador, empleado, dependiente,
contratista o servidor público, que no se genera ningún
tipo de expectativa de privacidad cuando se utilizan
correos electrónicos institucionales u oficiales, pues se
otorgan como herramientas de trabajo.

45.  La Corte Constitucional, en Sentencia C-1235, de
noviembre 29 de 2005, se pronuncia sobre la
denominada responsabilidad in eligendo e in vigilando,
responsabilidad por un hecho ajeno o de un tercero
que le puede caber a las empresas frente al deber de
diligencia y cuidado sobre las herramientas
electrónicas en el ámbito laboral, pues allí se
compromete la responsabilidad del patrono o
empresario cuando se generan perjuicios a terceros,
que se hubieran podido evitar con una correcta
vigilancia y control sobre estos recursos.

46. EL DERECHO Y LAS TECNOLOGÍAS.
Derecho del Consumo
Privacidad y Datos
personales
Penal
Propiedad Intelectual
Relaciones Laborales
Relacioneslaborales
Privacidad-Intimidad

47. ¿Preguntas?
Gracias por su atención
Ivan Dario Marrugo Jimenez
Socio de Marrugo Rivera & Asociados
Twitter: @imarrugoj
Bogotá D.C. Abril 23 de 2014