Ley 1581 swat

La nueva regulación de laLa nueva regulación de la
Protección de Datos en ColombiaProtección de Datos en Colombia
Ley 1581 de 2012Ley 1581 de 2012
© Ing. Sigifredo Hernández
@d7n0@d7n0
El Mundo de Dinosaurio
http://world-of-dino.blogspot.com/
JHON JAIRO HERNÁNDEZJHON JAIRO HERNÁNDEZ
d7n0s4ur70@gmail.comd7n0s4ur70@gmail.com
Dinosaurio – DinoDinosaurio – Dino

Información GeneralInformación General
w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernández

w w w .s w a t s e c u r i t y i t . c o m
ContextualizaciónContextualización

La Privacidad en el entorno globalLa Privacidad en el entorno global
“Ser víctimas de la fuga de información, es un tema que preocupa
tanto a los usuarios como a las empresas y es debido a ello que suelen
tomar recaudos para proteger su información. Para los usuarios la
fuga de información es un tema muy importante, y el 67,7% de losel 67,7% de los
usuarios esta preocupado acerca de la posibilidad de que sus datosusuarios esta preocupado acerca de la posibilidad de que sus datos
sean expuestos sin su consentimientosean expuestos sin su consentimiento. Cuando una empresa que
ofrece un servicio y se ve afectada por el robo de información, esto
impacta de manera directa en la confianza de sus clientes. Según los
resultados de la encuesta, ante un caso de robo de información, elel
62,9% de los usuarios dejaría de utilizar el servicio, es decir que la62,9% de los usuarios dejaría de utilizar el servicio, es decir que la
empresa perdería a 6 de cada 10 clientes por no proteger bien suempresa perdería a 6 de cada 10 clientes por no proteger bien su
informacióninformación.”
(Fuente ESET CA.
http://blogs.eset-la.com/laboratorio/2011/07/08/fuga-de-informacion-r

Google debe pagar 22,5 millones de dólares por rastrear sin
permiso a usuarios de Safari
“Jon Leibowitz, cabeza del organismo federal, dijo en un
comunicado que “la penalidad récord impuesta esta vez envía“la penalidad récord impuesta esta vez envía
un mensaje a todas las compañías investigadas por la FTC: Sinun mensaje a todas las compañías investigadas por la FTC: Sin
importar qué tan grandes o pequeñas sean, todas las compañíasimportar qué tan grandes o pequeñas sean, todas las compañías
deben ceñirse a las ordenanzas del FTC contra ellas y debendeben ceñirse a las ordenanzas del FTC contra ellas y deben
mantener sus promesas de privacidad a los consumidoresmantener sus promesas de privacidad a los consumidores, o
terminarán pagando muchas veces más que lo que les habría
costado obedecer en primer lugar.”
Fuente: Enter.co http://
www.enter.co/seguridad/google-debe-pagar-225-millones-de-dolare
La Privacidad en el entorno globalLa Privacidad en el entorno global

RegulaciónRegulación
de la Privacidad en Colombiade la Privacidad en Colombia
La Corte Constitucional le ordenó a las empresas de
transporte aéreo suprimir las denominadas “listas de
viajeros no conformes”, al concluir que se viola el
derecho al hábeas data, por no contar con el
consentimiento del titular de los datos y porque no
persiguen un fin constitucionalmente identificable,
desconociendo así el artículo 4º de la Ley 1581 del
2012.

Regulación
de la Privacidad en Colombia
TIGO VIOLA NORMAS DE HÁBEAS DATA. Por haber consultado en la base de datos de DataCrédito con un
fin diferente al del cálculo de riesgo crediticio y no informar cuál fue el uso de los datos obtenidos, la SIC
impuso a la operadora dos sanciones.
Dentro de las investigaciones adelantadas, la SIC pudo concluir que se estaban consultando datos
personales de manera indiscriminada, toda vez que el proveedor de servicio de comunicaciones, averiguó
la historia crediticia de un ciudadano que adquirió una línea en la modalidad prepago, a sabiendas de que
en este tipo de contratos no se genera ningún riesgo económico o posible incumplimiento por parte del
suscriptor.
La Superintendencia de Industria y Comercio (SIC) fue clara en advertir a la empresa sancionada que en
este tipo de situaciones, cuando el ciudadano no contrae la obligación de pagar sumas periódicas o cargos
adicionales (como sucede con las cláusulas de permanencia mínima), sólo puede consultarse la
información reportada en las centrales de riesgo cuando se haya dado una autorización específica para
ello.
Asimismo, la Dirección de Investigación de Protección de Datos Personales fue clara en señalar que no es
suficiente justificar la consulta de la historia crediticia de un titular indicando que éste solicitó un servicio,
sino que es necesario acreditar la intención que tuvo el ciudadano de adquirir el producto o servicio que
genera el riesgo crediticio.
Cada una de las sanciones le costará a la operadora de telefonía móvil $11'334.000.

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernándezhttp://habeasdatacolombia.uniandes.edu.co/?p=980

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernándezhttp://oiprodat.com/2013/05/08/sanciones-por-violacion-del-habeas-data-en-colombia/

Chile
Ley 19628 de 1999 Ley de
protección de la Vida Privada
o Datos de carácter personal.
Argentina
Ley 25.326 de Octubre 4 de
2000 de Protección de los
Datos Personales.
Uruguay
Ley 18331 de 2008 de
Protección de Datos
Personales y Acción de
Habeas Data.
Costa Rica
Ley 8968 de julio 11 de 2011
Ley de Protección de la
Persona frente al tratamiento
de sus datos personales.
México
Ley Federal de Protección de
Datos Personales –DOF:
05/07/10
Colombia
Ley 1266 de 2008 de
Protección de Datos y Habeas
Data financiero.
Perú
Ley 29.733 de 3 de julio de
2011 Ley de Protección de
Datos Personales.
Colombia
Ley 1581 de 2012
Protección de Datos
Personales

Constitución PolíticaConstitución Política
Articulo 15Articulo 15
“Todas las personas tienen derecho a su intimidad
personal y familiar y a su buen nombre, y el Estado
debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en
bancos de datos y en archivos de entidades públicas
y privadas” .
En la recolección, tratamiento y circulación de datos
se respetarán la libertad y demás garantías
consagradas en la Constitución.”

Ley 1266 de 2008Ley 1266 de 2008
Protección de Datos y Habeas DataProtección de Datos y Habeas Data
financierofinanciero

Ley 1581 DatosLey 1581 Datos
PersonalesPersonales

Ley 1581 de 2012Ley 1581 de 2012
Protección de Datos PersonalesProtección de Datos Personales
Objeto
“…. desarrollar el derecho constitucional que tiene todas
las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en
bases de datos o archivos, y los demás derechos,
libertades y garantías constitucionales a que se refiere
el artículo 15artículo 15 de la Constitución PolíticaConstitución Política; así como el
derecho a la información consagrado en el artículo 20artículo 20
de la misma”.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

Ámbito de AplicaciónÁmbito de Aplicación
La ley se aplica al tratamiento de datos
personales efectuado por entidades públicas o
privadas, dentro del país o cuando el
Responsable o Encargado no establecido en
territorio nacional le sea aplicable la legislación
colombiana en virtud de normas y tratados
internacionales.

ExclusionesExclusiones
• Bases de datos o archivos mantenidos en un ámbito
exclusivamente personal o doméstico
• Bases de datos que tienen por finalidad la seguridad y
defensa nacional y la prevención y control del lavado
de activos y financiamiento del terrorismo.
• Bases de datos de inteligencia y contrainteligencia.
• Bases de datos y archivos periodísticos y otros
contenidos editoriales.
• Bases de datos reguladas por la ley 1266 de 2008
(datos financieros – crediticios).
• Bases de datos del DANE (Ley 79 de 1993).

DefinicionesDefiniciones
• Dato personal. Cualquier información vinculada o que pueda asociarse a
una o varias personas determinadas o determinable (dato público, dato
semi-privado, dato privado y dato privado sensible)
• Responsable del tratamiento. Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, decida sobre la base de
datos y/o el tratamiento de los datos.
• Encargado del tratamiento. Persona natural o jurídica, pública o privada,
que por sí misma o en asocio con otros, realicé el tratamiento de datos
personales por cuenta del responsable del tratamiento.
• Titular. Persona natural cuyos datos personales sean objeto de
tratamiento.
• Tratamiento. Cualquier operación o conjunto de operaciones sobre
datos personales, tales como la recolección, almacenamiento, uso,
circulación o supresión.

CategoríasCategorías
Especiales de DatosEspeciales de Datos
• Datos sensibles. Aquellos que afectan la
intimidad de la personas o cuyo uso indebido
puede generar discriminación. (Origen racial o
étnico, orientación política, convicciones
filosóficas o religiosas, pertenencia a sindicatos
u organizaciones sociales o de derechos
humanos, datos de salud, vida sexual y
biométricos). Se prohíbe el tratamiento de datos
sensibles salvo las excepciones del artículo 6 de
la ley.

CategoríasCategorías
Especiales de DatosEspeciales de Datos
• Datos personales de menores. Se proscribe el
tratamiento de datos personales de menores de
edad salvo aquellos datos que sean de
naturaleza pública.
La Corte Constitucional precisó que tal prohibición
debe interpretarse en el sentido de que los datos
personales de los menores de 18 años, pueden ser
tratados, siempre y cuando el fin que se persiga con
dicho tratamiento responda al interés superior de los
menores y se asegure el respeto de sus derechos
prevalentes.

DerechosDerechos
de los titularesde los titulares
• Conocer, actualizar y rectificar sus datos personales
frente a Responsables y Encargados
• Solicitar prueba de la autorización al Responsable
• Ser informado respecto del uso de los datos
• Presentar quejas ante la SIC
• Revocar la autorización y/o solicitar la supresión del
dato (no sólo por intermedio de la SIC), y
• Acceder en forma gratuita a sus datos personales

AutorizaciónAutorización
del titulardel titular
• Debe ser previa e informada (no tácita)
• Puede ser obtenida por cualquier medio que permita
su consulta posterior
• No es necesaria en los siguientes casos:
– Cuando la información sea requerida por entidad pública
en ejercicio de sus funciones
– Se trate de datos de naturaleza pública
– En casos de urgencia médica o sanitaria (si no es
urgencia, debe obtenerse la autorización)
– Para fines históricos, estadísticos o científicos
– Datos relacionados con el Registro Civil

Deberes
de los Responsables del Tratamiento
• Autorización del titular. Debe solicitarla y conservarla e
informar al titular la finalidad de la recolección y los
derechos que le asisten.
• Calidad de la información. Debe garantizar que la
información sea veraz, completa, exacta, actualizada,
comprobable y comprensible, actualizar la información
comunicando al encargado las novedades y adoptar
medidas para que la misma se mantenga actualizada.
Adicionalmente debe rectificar la información incorrecta y
comunicar al encargado e indicarle cuando la información
este en discusión por parte de su titular.

Deberes
de los Responsables del Tratamiento
• Seguridad de la información. Debe impedir la adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento, exigir al encargado
el respeto a las condiciones de seguridad y privacidad, adoptar un
manual interno de políticas y procedimientos e informar a la autoridad
cuando se presenten violaciones a los códigos de seguridad que generen
riesgos en la administración de la información.
• Tratamiento. Debe suministrar al encargado únicamente datos cuyo
tratamiento esté previamente autorizado e informar, a solicitud del
titular, sobre el uso dado a su información.
• Adicionalmente debe garantizar al titular, en todo tiempo, el pleno y
efectivo ejercicio de su derecho de hábeas data y tramitar las consultas y
reclamos presentados, en los términos señalados en la ley.

Deberes
de los Encargados del Tratamiento
• Seguridad de la información. Debe impedir la adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento,
adoptar un manual interno de políticas y procedimientos e
informar a la autoridad cuando se presenten violaciones a los
códigos de seguridad que generen riesgos en la administración de
la información.
• Calidad de la información. Debe realizar oportunamente la
actualización, rectificación o supresión de los datos erróneos,
actualizar la información reportada por los responsables dentro
de los 5 días hábiles contados a partir de su recibo, registrar en la
base las leyendas de «reclamo en trámite» e «información en
discusión judicial» y abstenerse de circular información
controvertida y cuyo bloqueo haya sido ordenado por la
Superintendencia de Industria y Comercio.

DeberesDeberes
de los Encargados del Tratamientode los Encargados del Tratamiento
• Debe permitir el acceso a la información
únicamente a las personas que puedan tener
acceso a ella, en los términos señalados en la
ley.
• Debe garantizar al titular, en todo tiempo, el
pleno y efectivo ejercicio de su derecho de
hábeas data y tramitar las consultas y reclamos
presentados, en los términos señalados en la
ley.Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

ProcedimientosProcedimientos
• Se establecen los mismos procedimientos
previstos en la Ley 1266 de 2008: Consultas y
reclamos.
• Se permite definir términos inferiores para
las consultas en leyes o reglamentos,
atendiendo la naturaleza del dato.
• Se conserva el requisito de procedibilidad
para elevar queja ante la SIC.

SancionesSanciones
• Multas de carácter personal e institucional hasta
por 2000 SMLMV.
• Suspensión de actividades relacionadas con el
tratamiento hasta por 6 meses. En acto de cierre
se indicarán los correctivos.
• Cierre temporal de las operaciones si no se
adoptan los correctivos.
• Cierre inmediato y definitivo de la operación
que involucre el tratamiento de datos sensibles.

Registro NacionalRegistro Nacional
de Bases de Datosde Bases de Datos
• Directorio público de las bases de datos sujetas
a Tratamiento que operan en el país
• Permitirá conocer:
– Realidad de las bases de datos del país
– Flujo y tipo de datos
– Quién o quiénes adelantan su tratamiento
– Finalidad y
– Políticas de tratamiento
• Sujeto a reglamentación

Transferencia de datosTransferencia de datos
a terceros paísesa terceros países
• Se prohíbe la transferencia a países que no
proporcionen niveles de seguridad adecuados de
protección
• La SIC fijará los estándares para definir cuándo un
país ofrece un nivel adecuado de protección, acorde
con la ley
• Exclusiones:
– Titular haya otorgado autorización expresa e inequívoca
– Intercambio de datos médicos por razones de salud e
higiene pública
– Transferencias bancarias o bursátiles

Transferencia de datos
a terceros países
Exclusiones:
•Transferencias acordadas en el marco de tratados
internacionales, bajo el principio de reciprocidad
•Transferencias necesarias para la ejecución de un
contrato entre el Titular y el responsable o para la
ejecución de medidas precontractuales, previa
autorización del Titular
•Transferencias legalmente exigidas para la salvaguardia
del interés público o el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial

Normas corporativas
vinculantes
Exclusiones:
•Corresponde al Gobierno Nacional expedir la
reglamentación sobre Normas Corporativas Vinculantes
para la certificación de buenas practicas en protección
de datos personales y su transferencia a terceros países
•Se prevé la posibilidad de que existan entes
certificadores de buenas prácticas acreditados ante el
Organismo Nacional de Acreditación (ONAC) y que
serían controlados por la Superintendencia de Industria
y Comercio

Régimen deRégimen de
transicióntransición
Se prevé un plazo de 6 meses para adecuar su
funcionamiento a las disposiciones
contempladas en la ley

Funciones de la SICFunciones de la SIC
Ley 1581 de 2012:
Adelantar investigaciones de oficio o a petición de parte,
impartir órdenes de acceso, rectificación, actualización y/o
supresión de datos.
•Disponer el bloqueo temporal de datos por riesgo de
violación de derechos fundamentales.
•Promover y divulgar derechos de los titulares.
•Impartir instrucciones.
•Proferir declaraciones de conformidad sobre transferencias
internacionales.
•Administrar el RNBD.
•Requerir colaboración de entidades internacionales.

Plan de AcciónPlan de Acción

Decreto
Reglamentario

Derechos del TitularDerechos del Titular

ObligacionesObligaciones

Ley 1273 de 2009
• Ley de Delitos Informáticos. El bien jurídico
tutelado es protección de la información y de
los datos

Ley 1273 de 2009

Artículo 269 F
• Violación de datos personales. El que, sin estar
facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca,
venda, intercambie, envíe, compre, intercepte,
divulgue, modifique o emplee códigos
personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios
semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses
y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.

RiesgosRiesgos
Pérdida de imagen
Pérdidasfinancieras
FugadeInformación

Riesgos FinancierosRiesgos Financieros
FugadeInformación

TransferenciaTransferencia
InternacionalInternacional
FugadeInformación

Buenas PrácticasBuenas Prácticas
Fuente: CIO EXECUTIVE BOARD (2010) CEB Guidance: Key components of a data privacy program. Legal and compliance practice. Compliance and ethics leadership council. (Requiere derechos suscripción).

DocumentarDocumentar
e Informare Informar

Modelo de GestiónModelo de Gestión

Producto / Servicio Costo Estimado
Clasificación de Datos $###.###.###
Ethical Hacking $###.###.###
Ingeniería Social $###.###.###
Análisis de Brecha $###.###.###
Plan Estratégico de Seguridad de la Información para el tratamiento de Datos Personales $###.###.###
ROADMAPROADMAP

RetosRetos
- Sensibilización y compromiso del Comité de Seguridad y Gerencia,
claridad en el mensaje a la comunidad de usuarios.
- Sinergia con los interesados Infraestructura de TI, Sistemas de
Información, Gestión de Riesgos, Auditoria, Proyectos, Comité de
Seguridad, Comité de Gerencia, entre otros.
- Influenciar los productos y servicios con el objetivo de ser eficientes
operativamente en un ambiente razonablemente asegurado.
- Acciones ejecutadas estén alineadas con el decreto reglamentario.
- Establecer métricas que respondan a los beneficios del negocio
- Pasar de un rol operativo a un rol estratégico.
- Buenos aliados estratégicos.

ResumenResumen
• La estrategia para el tratamiento de Datos Personales debe tener como
base un Sistema de Gestión de Seguridad de la Información (SGSI).
• La adopción de un SGSI debería ser una decisión estratégica para una
organización.
• El diseño e implementación de un SGSI de una organización están
influenciados por las necesidades y objetivos, los requisitos de
seguridad, los procesos empleados y el tamaño y estructura de la
organización.
• Se espera que la implementación de un SGSI se ajuste de acuerdo con
las necesidades de la organización, por ejemplo, una situación simple
requiere una solución de SGSI simple.
• La organización debe asegurar que todo el personal apropiado tiene
conciencia de la pertinencia e importancia de sus actividades de
seguridad de la información y como ellas contribuyen al logro de los
objetivos del SGSI.

LEY ESTATUTARIA 1581 DE 2012LEY ESTATUTARIA 1581 DE 2012

Ley 1581 swat

Más contenido relacionado

La actualidad más candente

Similar a Ley 1581 swat

Más de Jhon Jairo Hernandez

Ley 1581 swat