Successfully reported this slideshow.
RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES
ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC)
BOGOTÁ D.C., 30 DE AGOSTO ...
DEFINICIONES
AUTORIZACIÓN
•Consentimiento
previo, expreso
e informado del
Titular para
llevar a cabo el
Tratamiento de
dat...
DEFINICIONES
TRATAMIENTO
•Cualquier
operación o
conjunto de
operaciones
sobre datos
personales, tales
como la
recolección,...
DERECHOS DE LOS TITULARES
DERECHOS
DE LOS
TITULARES
Conocer, actualizar
y rectificar sus
datos personales.
Solicitar prueb...
AUTORIZACIÓN DEL TITULAR
• Para el Tratamiento es obligatorio obtener la autorización previa e
informada del Titular.
• Al...
CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL
TITULAR
Información requerida por
una entidad pública o
administrativa en ejercici...
¿A QUIÉN SE LE PUEDE SUMINISTRAR
INFORMACIÓN?
A los Titulares,
sus herederos o
sus
representantes
legales.
A las entidades...
DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Garantizar al
Titular el pleno y
efectivo ejercicio
del derecho de
háb...
DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Rectificar la
información cuando
sea incorrecta y
comunicar al ET.
Tra...
DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Informar a
solicitud del
Titular sobre
el uso dado a
sus datos.
Inform...
DEBERES DE LOS ENCARGADOS DEL
TRATAMIENTO
DEBERES
Tramitar las
consultas y los
reclamos
formulados por
los Titulares .
Con...
DEBERES DE LOS ENCARGADOS DEL
TRATAMIENTO
DEBERES
Registrar en la base
de datos las leyenda
"reclamo en
trámite”.
Insertar...
CONSULTAS Y RECLAMOS
CONSULTA
Se debe habilitar un medio
para que los Titulares o sus
herederos hagan la
consulta sobre lo...
SANCIONES
SANCIONES
Multas hasta
por 2.000
smmlv.
Suspensión de las
actividades
relacionadas con
el Tratamiento
hasta por ...
DEL REGISTRO NACIONAL DE BASES DE DATOS
✓ El Registro Nacional de Bases de Datos es el directorio público de las bases
de ...
DEL REGISTRO NACIONAL DE BASES DE DATOS
• Término para inscribir las bases de datos en el RNBD: 31 de
enero de 2018 para q...
METODOLOGÍA PARA IMPLEMENTAR LPD
Revisar
procesos
Revisar políticas
y
procedimientos
Determinar
brechas
Organizar
inventar...
ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Mayo 2017
• Sector de la Empresa: Actividades de centros de
llamadas (Call cente...
ANÁLISIS DE CASOS
Conclusiones
• El ciudadano puede elegir si su información personal
puede ser utilizada o no en bases de...
ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Junio 2016
• Sector de la Empresa: Salud
• Importe de la Sanción: 1.500 slmmv
($...
ANÁLISIS DE CASOS
Conclusiones:
La sanción castiga en especial el hecho de considerar que con un
plazo de 20 meses durante...
www.summa-consultores.com www.isecauditors.com
PBX: 4813869 PBX: 6386888
Cra. 13a N° 89-38, Of. 628 Calle 90 No. 12-28
Bog...
Próxima SlideShare
Cargando en…5
×

Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia

28 visualizaciones

Publicado el

Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.

Publicado en: Internet
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia

  1. 1. RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC) BOGOTÁ D.C., 30 DE AGOSTO DE 2017
  2. 2. DEFINICIONES AUTORIZACIÓN •Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales BASE DE DATOS •Conjunto organizado de datos personales que sea objeto de Tratamiento DATO PERSONAL •Cualquier información vinculada o que pueda asociarse a personas naturales TITULAR • Persona natural cuyos datos personales sean objeto de Tratamiento
  3. 3. DEFINICIONES TRATAMIENTO •Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. ENCARGADO DEL TRATAMIENTO •Persona que realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. RESPONSABLE DEL TRATAMIENTO •Persona que decide sobre la base de datos y/o el Tratamiento de los datos. DATOS SENSIBLES • Datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación • Ejemplos: origen racial o étnico, orientación política, religión, salud. •Todos los Datos de niños, niñas y adolescentes.
  4. 4. DERECHOS DE LOS TITULARES DERECHOS DE LOS TITULARES Conocer, actualizar y rectificar sus datos personales. Solicitar prueba de la autorización otorgada. Ser informado del uso que le ha dado a sus datos personales. Presentar ante la SIC quejas por infracciones. Revocar la autorización y/o solicitar la supresión del dato personal. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
  5. 5. AUTORIZACIÓN DEL TITULAR • Para el Tratamiento es obligatorio obtener la autorización previa e informada del Titular. • Al momento de solicitar al Titular la autorización, se deberá informar de manera clara y expresa lo siguiente: ✓ El Tratamiento al cual serán sometidos los datos personales y la finalidad del mismo; ✓ El carácter facultativo de responder sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; ✓ Los derechos que tiene el Titular; ✓ La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. : Es obligatorio conservar prueba de la autorización y entregar copia cuando el Titular la solicite.
  6. 6. CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL TITULAR Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. Datos de naturaleza pública. Casos de urgencia médica o sanitaria. Información autorizada por la ley para fines históricos, estadísticos o científicos. Datos relacionados con el Registro Civil de las Personas.
  7. 7. ¿A QUIÉN SE LE PUEDE SUMINISTRAR INFORMACIÓN? A los Titulares, sus herederos o sus representantes legales. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. A los terceros autorizados por el Titular o por la ley.
  8. 8. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DEBERES Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data. Solicitar y conservar, la autorización otorgada por el Titular. Informar al Titular sobre la finalidad de la recolección y los derechos que tiene. Actualizar la información y comunicar al ET, todas las novedades respecto de los datos que previamente le haya dado. Garantizar que la información que se suministre al ET sea veraz, completa, exacta, actualizada, comprobable y comprensible. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  9. 9. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DEBERES Rectificar la información cuando sea incorrecta y comunicar al ET. Tramitar las consultas y reclamos formulados. Informar al ET cuando determinada información se encuentra en discusión por parte del Titular. Adoptar un manual interno de políticas y procedimientos. Suministrar al ET, únicamente datos cuyo Tratamiento esté previamente autorizado. Exigir al ET el respeto a las condiciones de seguridad y privacidad de la información.
  10. 10. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DEBERES Informar a solicitud del Titular sobre el uso dado a sus datos. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información. Cumplir las instrucciones y requerimientos que imparta la SIC.
  11. 11. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO DEBERES Tramitar las consultas y los reclamos formulados por los Titulares . Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento Realizar oportunamente la actualización, rectificación o supresión de los datos personales Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. Adoptar un manual interno de políticas y procedimientos. Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.
  12. 12. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO DEBERES Registrar en la base de datos las leyenda "reclamo en trámite”. Insertar en la base de datos la leyenda "información en discusión judicial”. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la SIC. Cumplir las instrucciones y requerimientos que imparta la SIC. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  13. 13. CONSULTAS Y RECLAMOS CONSULTA Se debe habilitar un medio para que los Titulares o sus herederos hagan la consulta sobre los Datos Personales. Término máximo para responder: 10 días hábiles, prorrogables por 5 días hábiles más. RECLAMO Cuando la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión. Término máximo para responder: 15, días hábiles prorrogables por 08 días hábiles.
  14. 14. SANCIONES SANCIONES Multas hasta por 2.000 smmlv. Suspensión de las actividades relacionadas con el Tratamiento hasta por 6 meses. Cierre temporal de las operaciones relacionadas con el Tratamiento. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
  15. 15. DEL REGISTRO NACIONAL DE BASES DE DATOS ✓ El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. ✓ El RNBD es administrado por la SIC. ✓ Se deben aportar las políticas de tratamiento de la información, las cuales obligarán a los Responsables y Encargados. ✓ La obligación de inscribir las bases de datos en el RNBD es del Responsable, indicando explícitamente quienes son los Encargados. ✓ Se deben inscribir las base de datos en el RNBD a través de Internet, ingresando a SIC www.sic.gov.co en la sección de “Protección de Datos ✓ Personales” – Subsección “Sobre la protección de datos personales”, al acceder al link del RNBD.
  16. 16. DEL REGISTRO NACIONAL DE BASES DE DATOS • Término para inscribir las bases de datos en el RNBD: 31 de enero de 2018 para quine estén inscritos en las cámaras de comercio y 31 de enero de 2019 para quienes no estén inscritos en las cámaras de comercio. • Información mínima que debe tener el RNBD: 1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos. 2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos. 3. Canales para que los titulares ejerzan sus derechos. 4. Nombre y finalidad de la base de datos. 5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y 6. Política de Tratamiento de la información.
  17. 17. METODOLOGÍA PARA IMPLEMENTAR LPD Revisar procesos Revisar políticas y procedimientos Determinar brechas Organizar inventarios Eliminar datos no requeridos Recolectar autorizaciones Ajustar contratos Definir e implementar controles Registrar bases de datos Mantener cumplimiento
  18. 18. ANÁLISIS DE CASOS Ficha del Caso • Fecha: Mayo 2017 • Sector de la Empresa: Actividades de centros de llamadas (Call center) • Importe de la Sanción: 66 slmmv ($48.689.322) • Origen del Proceso: Denuncia • Tipos de incumplimientos: Técnicos, Jurídicos, Procedimentales
  19. 19. ANÁLISIS DE CASOS Conclusiones • El ciudadano puede elegir si su información personal puede ser utilizada o no en bases de datos. • La información ya registrada en un usuario no puede pasar a otro organismo para que la utilice con fines distintos, sin la autorización previa, expresa y libre del titular. • Ninguna entidad puede tener en sus bases de datos información personal privada o semiprivada de una persona si no cuenta con las debidas autorizaciones. • No es legitimo utilizar los datos personales y luego pretender obtener una autorización de manejo.
  20. 20. ANÁLISIS DE CASOS Ficha del Caso • Fecha: Junio 2016 • Sector de la Empresa: Salud • Importe de la Sanción: 1.500 slmmv ($1.034.182.500) • Origen del Proceso: Denuncia Cliente • Tipos de incumplimientos: Técnicos, Procedimentales
  21. 21. ANÁLISIS DE CASOS Conclusiones: La sanción castiga en especial el hecho de considerar que con un plazo de 20 meses durante los cuales los datos eran accesibles libremente queda patente que no se siguió la diligencia debida en cuanto a la validación de las medidas de seguridad presuntamente implementadas. Esto se multiplica por el hecho que las Bases de Datos contienen datos sensibles (salud y menores). La SIC es especialmente enfática con el hecho que la sancionada no comunicara del incidente. Esto puede sentar un precedente a notificar cualquier incidente en su interpretación más “amplia” a la SIC, sin interpretaciones.
  22. 22. www.summa-consultores.com www.isecauditors.com PBX: 4813869 PBX: 6386888 Cra. 13a N° 89-38, Of. 628 Calle 90 No. 12-28 Bogotá D.C. Bogotá D.C. ejaramillo@summa-consultores.com dfernandez@isecauditors.com GRACIAS

×