Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
1. RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES
ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC)
BOGOTÁ D.C., 30 DE AGOSTO DE 2017
2. DEFINICIONES
AUTORIZACIÓN
•Consentimiento
previo, expreso
e informado del
Titular para
llevar a cabo el
Tratamiento de
datos
personales
BASE DE DATOS
•Conjunto
organizado de
datos
personales que
sea objeto de
Tratamiento
DATO
PERSONAL
•Cualquier
información
vinculada o
que pueda
asociarse a
personas
naturales
TITULAR
• Persona
natural cuyos
datos
personales
sean objeto de
Tratamiento
3. DEFINICIONES
TRATAMIENTO
•Cualquier
operación o
conjunto de
operaciones
sobre datos
personales, tales
como la
recolección,
almacenamiento,
uso, circulación o
supresión.
ENCARGADO DEL
TRATAMIENTO
•Persona que
realice el
Tratamiento de
datos
personales por
cuenta del
Responsable del
Tratamiento.
RESPONSABLE DEL
TRATAMIENTO
•Persona que
decide sobre la
base de datos
y/o el
Tratamiento de
los datos.
DATOS SENSIBLES
• Datos que
afectan la
intimidad del
Titular o cuyo uso
indebido puede
generar
discriminación
• Ejemplos: origen
racial o étnico,
orientación
política, religión,
salud.
•Todos los Datos
de niños, niñas y
adolescentes.
4. DERECHOS DE LOS TITULARES
DERECHOS
DE LOS
TITULARES
Conocer, actualizar
y rectificar sus
datos personales.
Solicitar prueba de
la autorización
otorgada.
Ser informado del
uso que le ha dado
a sus datos
personales.
Presentar ante la
SIC quejas por
infracciones.
Revocar la
autorización y/o
solicitar la supresión
del dato personal.
Acceder en forma
gratuita a sus datos
personales que
hayan sido objeto
de Tratamiento.
5. AUTORIZACIÓN DEL TITULAR
• Para el Tratamiento es obligatorio obtener la autorización previa e
informada del Titular.
• Al momento de solicitar al Titular la autorización, se deberá informar
de manera clara y expresa lo siguiente:
✓ El Tratamiento al cual serán sometidos los datos personales y la
finalidad del mismo;
✓ El carácter facultativo de responder sobre datos sensibles o sobre
los datos de las niñas, niños y adolescentes;
✓ Los derechos que tiene el Titular;
✓ La identificación, dirección física o electrónica y teléfono del
Responsable del Tratamiento.
: Es obligatorio conservar prueba de la autorización y entregar copia
cuando el Titular la solicite.
6. CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL
TITULAR
Información requerida por
una entidad pública o
administrativa en ejercicio
de sus funciones legales o
por orden judicial.
Datos de naturaleza
pública.
Casos de urgencia médica
o sanitaria.
Información autorizada
por la ley para fines
históricos, estadísticos o
científicos.
Datos relacionados con el
Registro Civil de las
Personas.
7. ¿A QUIÉN SE LE PUEDE SUMINISTRAR
INFORMACIÓN?
A los Titulares,
sus herederos o
sus
representantes
legales.
A las entidades
públicas o
administrativas
en ejercicio de
sus funciones
legales o por
orden judicial.
A los terceros
autorizados
por el Titular
o por la ley.
8. DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Garantizar al
Titular el pleno y
efectivo ejercicio
del derecho de
hábeas data.
Solicitar y conservar,
la autorización
otorgada por el
Titular.
Informar al Titular
sobre la finalidad
de la recolección y
los derechos que
tiene.
Actualizar la información y
comunicar al ET, todas las
novedades respecto de los
datos que previamente le
haya dado.
Garantizar que la
información que se
suministre al ET sea
veraz, completa,
exacta, actualizada,
comprobable y
comprensible.
Conservar la
información bajo
las condiciones de
seguridad
necesarias para
impedir su
adulteración,
pérdida, consulta,
uso o acceso no
autorizado o
fraudulento.
9. DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Rectificar la
información cuando
sea incorrecta y
comunicar al ET.
Tramitar las
consultas y
reclamos
formulados.
Informar al ET
cuando
determinada
información se
encuentra en
discusión por
parte del Titular.
Adoptar un
manual interno
de políticas y
procedimientos.
Suministrar al
ET, únicamente
datos cuyo
Tratamiento esté
previamente
autorizado.
Exigir al ET el
respeto a las
condiciones de
seguridad y
privacidad de
la información.
10. DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO
DEBERES
Informar a
solicitud del
Titular sobre
el uso dado a
sus datos.
Informar a la SIC cuando
se presenten violaciones
a los códigos de
seguridad y existan
riesgos en la
administración de la
información.
Cumplir las
instrucciones y
requerimientos
que imparta la
SIC.
11. DEBERES DE LOS ENCARGADOS DEL
TRATAMIENTO
DEBERES
Tramitar las
consultas y los
reclamos
formulados por
los Titulares .
Conservar la información
bajo las condiciones de
seguridad necesarias
para impedir su
adulteración, pérdida,
consulta, uso o acceso no
autorizado o fraudulento
Realizar
oportunamente la
actualización,
rectificación o
supresión de los
datos personales
Actualizar la
información
reportada por los
Responsables del
Tratamiento dentro
de los cinco (5) días
hábiles contados a
partir de su recibo.
Adoptar un
manual interno
de políticas y
procedimientos.
Garantizar al
Titular el pleno y
efectivo ejercicio
del derecho de
hábeas data.
12. DEBERES DE LOS ENCARGADOS DEL
TRATAMIENTO
DEBERES
Registrar en la base
de datos las leyenda
"reclamo en
trámite”.
Insertar en la base
de datos la
leyenda
"información en
discusión judicial”.
Abstenerse de
circular información
que esté siendo
controvertida por el
Titular y cuyo
bloqueo haya sido
ordenado por la SIC.
Cumplir las
instrucciones y
requerimientos
que imparta la
SIC.
Informar a la SIC
cuando se presenten
violaciones a los
códigos de
seguridad y existan
riesgos en la
administración de la
información.
Permitir el acceso a la
información
únicamente a las
personas que pueden
tener acceso a ella.
13. CONSULTAS Y RECLAMOS
CONSULTA
Se debe habilitar un medio
para que los Titulares o sus
herederos hagan la
consulta sobre los Datos
Personales.
Término máximo para
responder: 10 días hábiles,
prorrogables por 5 días
hábiles más.
RECLAMO
Cuando la información contenida
en una base de datos debe ser
objeto de corrección, actualización
o supresión.
Término máximo para responder: 15,
días hábiles prorrogables por 08 días
hábiles.
14. SANCIONES
SANCIONES
Multas hasta
por 2.000
smmlv.
Suspensión de las
actividades
relacionadas con
el Tratamiento
hasta por 6 meses.
Cierre temporal
de las
operaciones
relacionadas con
el Tratamiento.
Cierre inmediato
y definitivo de la
operación que
involucre el
Tratamiento de
datos sensibles.
15. DEL REGISTRO NACIONAL DE BASES DE DATOS
✓ El Registro Nacional de Bases de Datos es el directorio público de las bases
de datos sujetas a Tratamiento que operan en el país.
✓ El RNBD es administrado por la SIC.
✓ Se deben aportar las políticas de tratamiento de la información, las cuales
obligarán a los Responsables y Encargados.
✓ La obligación de inscribir las bases de datos en el RNBD es del
Responsable, indicando explícitamente quienes son los Encargados.
✓ Se deben inscribir las base de datos en el RNBD a través de Internet,
ingresando a SIC www.sic.gov.co en la sección de “Protección de Datos
✓ Personales” – Subsección “Sobre la protección de datos personales”, al
acceder al link del RNBD.
16. DEL REGISTRO NACIONAL DE BASES DE DATOS
• Término para inscribir las bases de datos en el RNBD: 31 de
enero de 2018 para quine estén inscritos en las cámaras de
comercio y 31 de enero de 2019 para quienes no estén inscritos
en las cámaras de comercio.
• Información mínima que debe tener el RNBD:
1. Datos de identificación, ubicación y contacto del Responsable
del Tratamiento de la base de datos.
2. Datos de identificación, ubicación y contacto del o de los
Encargados del Tratamiento de la base de datos.
3. Canales para que los titulares ejerzan sus derechos.
4. Nombre y finalidad de la base de datos.
5. Forma de Tratamiento de la base de datos (manual y/o
automatizada), y
6. Política de Tratamiento de la información.
17. METODOLOGÍA PARA IMPLEMENTAR LPD
Revisar
procesos
Revisar políticas
y
procedimientos
Determinar
brechas
Organizar
inventarios
Eliminar datos
no requeridos
Recolectar
autorizaciones
Ajustar
contratos
Definir e
implementar
controles
Registrar bases
de datos
Mantener
cumplimiento
18. ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Mayo 2017
• Sector de la Empresa: Actividades de centros de
llamadas (Call center)
• Importe de la Sanción: 66 slmmv ($48.689.322)
• Origen del Proceso: Denuncia
• Tipos de incumplimientos: Técnicos, Jurídicos,
Procedimentales
19. ANÁLISIS DE CASOS
Conclusiones
• El ciudadano puede elegir si su información personal
puede ser utilizada o no en bases de datos.
• La información ya registrada en un usuario no puede
pasar a otro organismo para que la utilice con fines
distintos, sin la autorización previa, expresa y libre del
titular.
• Ninguna entidad puede tener en sus bases de datos
información personal privada o semiprivada de una
persona si no cuenta con las debidas autorizaciones.
• No es legitimo utilizar los datos personales y luego
pretender obtener una autorización de manejo.
20. ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Junio 2016
• Sector de la Empresa: Salud
• Importe de la Sanción: 1.500 slmmv
($1.034.182.500)
• Origen del Proceso: Denuncia Cliente
• Tipos de incumplimientos: Técnicos,
Procedimentales
21. ANÁLISIS DE CASOS
Conclusiones:
La sanción castiga en especial el hecho de considerar que con un
plazo de 20 meses durante los cuales los datos eran accesibles
libremente queda patente que no se siguió la diligencia debida en
cuanto a la validación de las medidas de seguridad presuntamente
implementadas.
Esto se multiplica por el hecho que las Bases de Datos contienen
datos sensibles (salud y menores).
La SIC es especialmente enfática con el hecho que la sancionada no
comunicara del incidente. Esto puede sentar un precedente a
notificar cualquier incidente en su interpretación más “amplia” a la
SIC, sin interpretaciones.