LA ETAPA INTERMEDIA EN EL PROCESO PENAL EXPOSICION
Decodificando el Registro Nacional de Bases de Datos en Colombia
1. REGISTRO NACIONAL DE BASES
DE DATOS – DECODIFICANDO EL
DECRETO 886 DE 2014
Julio 2014
ASOCIACION COLOMBIANA DE INGENIEROS DE SISTEMAS
Aliado tecnológico
2. IVAN DARIO MARRUGO JIMENEZ
Abogado. Socio Fundador de Marrugo Rivera &
Asociados. Director de Consultoría en protección
de datos personales de B-Secure. Especialista en
Derecho de las Telecomunicaciones de la
Universidad del Rosario. Auditor Interno
Certificado en Sistemas de Gestión de Seguridad
de la Información ISO 27001. Curso en Certified
Hacking Forensic Investigator v.8 del ec-council.
Experto en Derecho y Tecnología se especializa en
Comercio Electrónico, Derecho Informático,
Seguridad de la Información, Tecnologías de la
Información y Comunicaciones, Informática
Forense.
FACILITADOR
3. El Modelo de Protección de Datos en Colombia
Agenda
Conceptualización
Principales aspectos normativos
Registro Nacional de Bases de Datos
Elementos: Una Estrategia Integral de Protección de Datos
4. El contexto del tema
• Ante los notables avances de las comunicaciones,
posibles gracias a las nuevas tecnologías, cada vez es
mucho más sencillo acceder a un mayor número de
informaciones relevantes sobre una persona, sin que
ella se entere siquiera de que estas informaciones
existen. La posibilidad de consultar, con ayuda de
poderosos procesadores, complejas y extensas bases
de datos, en las cuales toda la información se acumula
sin problemas de espacio, es un gran avance para
lograr el acceso a la información y para realizar el valor
de transparencia que subyace en él, pero también es
un riesgo importante para la intimidad y para la
protección de los datos personales.
5. Dato personal
•Industria del dato: Hay muchos tipos de
información.
•Información estatal.
•Secretos industriales.
•Estados financieros.
•Información personal.
• Datos personales: Identificación, estado civil, origen, financiero,
crediticio, etc.
6. Antecedentes
Art. 15 Constitución Política: Todas las personas tienen derecho a su
intimidad personal y familiar y a su buen nombre, y el Estado debe
respetarlos y hacerlos respetar. De igual modo, tienen derecho a
conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y en archivos de entidades públicas y
privadas.
En la recolección, tratamiento y circulación de datos se respetarán la
libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son
inviolables. Sólo pueden ser interceptadas o registradas mediante orden
judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección,
vigilancia e intervención del Estado podrá exigirse la presentación de
libros de contabilidad y demás documentos privados, en los términos
que señale la ley.
9. •Derecho a la información vs. derecho a la
intimidad:
•Información crediticia.
•Información sobre la salud: Historias clínicas.
•Otros intentos por regular la materia.
•Proyectos de Ley.
Colisión de Derechos
10. Otros antecedentes mas próximos
•Sent. T-307 de 1999.
•Sent. T-729 de 2002.
•Sent. T-718 de 2005 (Derecho autonomo,
inmediato, tutelable)
•Sent. T- 260 de 2012. Facebook.
11. Caso especial. El caso
Sentencia T 987 de 2012.
PRIMERO: REVOCAR, las sentencias proferidas el 4 de junio de 2012 por el Juzgado Diecisiete
Penal Municipal con Función de Garantías de Bogotá y el 13 de julio de 20112 por el Juzgado
Once Penal del Circuito Especializado de la misma ciudad. En su lugar, TUTELAR los derechos
fundamentales al debido proceso y al hábeas data del ciudadano Gustavo Quintero Navas.
SEGUNDO: ORDENAR al representante legal de la sociedad comercial Aerovías del Continente
Americano S.A. - Avianca S.A., que en el término de cuarenta y ocho (48) horas contado a partir
de la notificación de esta sentencia, proceda a eliminar la base de datos administrada por esa
sociedad, denominada lista de viajeros no conformes, destinada a la negación del acceso al
servicio público esencial de transporte aéreo suministrado por esa compañía de aviación, en los
términos explicados en esta decisión.
Para cumplir con esta orden judicial, Avianca S.A. procederá a adelantar los procedimientos
físicos y tecnológicos destinados a destruir toda la información personal contenida en la
denominada lista de viajeros no conformes y recopilada con el fin de negar el acceso al servicio
público mencionado, de manera que no sea posible su consulta física o electrónica en el futuro.
De igual manera, ORDENAR al representante legal de la sociedad comercial Aerovías del
Continente Americano S.A. - Avianca S.A. que adopte las decisiones tendientes a impedir que
bases de datos o registros de la naturaleza y objetivos de la denominada lista de viajeros no
conformes sean confeccionados en el futuro.
12. LEY 1581 DE 2012.
PROTECCIÓN DE DATOS PERSONALES
OBJETIVO DE LA NORMA: Desarrollar el derecho
constitucional que tienen todas las personas a
conocer, actualizar y rectificar las informaciones
que se hayan recogido sobre ellas en bases de
datos o archivos, y los demás derechos,
libertades y garantías constitucionales a que se
refiere el artículo 15 de la Constitución Política;
así como el derecho a la información
consagrado en el artículo 20 de la misma
13. LAS PARTICULARIDADES DE NUESTRO SISTEMA
DE PROTECCION DE DATOS
•Es un sistema Mixto: Coexisten 2 normas.
(Colisión normativa)
•Declarada constitucional por la Corte mediante
sentencia c-748 de 2011
•Sistema de principios.
•Aplicable a cualquier dato contenido en una BD
que sea susceptible de tratamiento.
14. La norma
•30 artículos. 9 Títulos.
•Reglamentación parcial.
•Decreto 1377 de 2013.
•Decreto 886 de 2014
•Normas corporativas vinculantes
•Criterios de Seguridad
•Generalidades.
•Categorías especiales.
15. El derecho constitucional que tienen todas las personas a :
Conocer
Actualizar
Rectificar Las informaciones que se hayan
recogido sobre ellas en bases
de datos o archivos
El objeto de protección.
Derecho a la Información: ART. 20. Se garantiza a toda persona la
libertad de (…) informar y recibir información veraz e imparcial (…)
16. ¿Qué tipo de base de datos o archivos los
cobija esta ley?
Datos personales registrados en cualquier
base de datos que sean susceptibles de
tratamiento por entidades públicas y privadas
17. Esta ley no es aplicable a:
Basesdedatosoarchivos
Ámbito exclusivamente
personal o doméstico.
Que tengan por finalidad la
seguridad y defensa
nacional
Inteligencia y
contrainteligencia
Periodística y otros
contenidos editoriales;
regulados por la Ley 1266
de 2008
regulados por la Ley 79 de
1993.
20. Categoría especiales de Datos
Datos sensibles
• Afectan la intimidad del titular
• Su uso indebido pueden generar discriminación
• Datos relativos a la salud, vida sexual y datos biométricos
Esta prohibido el tratamiento de datos sensibles, salvo las
excepciones que establece la ley
21. Tratamiento de datos personales de niños, niñas
y adolescentes
Queda proscrito el Tratamiento de datos personales de niños,
niñas y adolescentes, salvo aquellos datos que sean de
naturaleza pública.
La especial protección que se da a los datos personales de
niños, niñas y adolescentes, es una proyección razonable que
se desprende de su condición de sujetos que gozan de una
especial protección constitucional.
El Gobierno Nacional reglamentará la materia, dentro de los
seis (6) meses siguientes a la promulgación de esta ley.
22. Deber de informar al titular del dato
Cuando el responsable del Tratamiento solicita al titular del dato la
autorización, debe informarle de manera clara y expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la
finalidad del mismo;
b) El carácter facultativo de la respuesta a las preguntas que le sean
hechas, cuando estas versen sobre datos sensibles o sobre los
datos de las niñas, niños y adolescentes;
c) Los derechos que le asisten como Titular;
d) La identificación, dirección física o electrónica y teléfono del
Responsable del Tratamiento.
El Responsable del Tratamiento deberá conservar prueba del
cumplimiento de estos requisitos cuando el Titular lo solicite, y entregarle
copia de esta.
23. Deberes de los Responsables y Encargados del
tratamiento
• Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y
privacidad de la información del Titular;
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
• Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el
trámite respectivo;
• Informar a solicitud del Titular sobre el uso dado a sus datos;
• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos
de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
24. Deberes de los Encargados del Tratamiento
• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hábeas data;
• Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;
• Realizar oportunamente la actualización, rectificación o supresión de los
datos en los términos de la presente ley;
• Actualizar la información reportada por los Responsables del Tratamiento
dentro de los cinco (5) días hábiles contados a partir de su recibo;
• Adoptar un manual interno de políticas y procedimientos para garantizar
el adecuado cumplimiento de la presente ley y, en especial, para la
atención de consultas y reclamos por parte de los Titulares;
25. DECRETO 886 DE MAYO 13 DE 2014
Art. 25 Ley 1581 de 2012. Registro Nacional de Bases
de Datos – RNBD
• Es el directorio público de las bases de datos sujetas a
tratamiento que operan en el país.
• El registro será administrado por la Superintendencia de
Industria y Comercio y será de libre consulta para los
ciudadanos.
• Para realizar el registro de bases de datos, los interesados
deberán aportar a la Superintendencia de Industria y
Comercio las políticas de tratamiento de la información, las
cuales obligarán a los responsables y encargados del mismo, y
cuyo incumplimiento acarreará las sanciones
correspondientes. Las políticas de Tratamiento en ningún caso
podrán ser inferiores a los deberes contenidos en la presente
ley.
26. DECRETO 886 DE MAYO 13 DE 2014
OBJETO Y AMBITO DE APLICACION
• Tiene como objeto reglamentar la información mínima que
debe contener el Registro Nacional de Bases de Datos, creado
por la Ley 1581 de 2012, así como los términos y condiciones
bajo las cuales se deben inscribir en este los Responsables del
Tratamiento.
• Aplicación: Serán objeto de inscripción en el Registro Nacional
de Bases de Datos, las bases de datos que contengan datos
personales cuyo Tratamiento automatizado o manual se
realice por personas naturales o jurídicas, de naturaleza
pública o privada, en el territorio colombiano o fuera de él, en
este último caso, siempre que al Responsable del Tratamiento
o al Encargado del Tratamiento le sea aplicable la legislación
colombiana en virtud de normas y tratados internacionales.
27. Para realizar el registro de bases de datos, los
interesados deberán además aportar a la SIC
las políticas de tratamiento de la información,
las cuales obligarán a los Responsables y
Encargados del mismo, y cuyo
incumplimiento acarreará las sanciones
correspondientes.
ENTONCES….
28. El Responsable del Tratamiento debe inscribir en el Registro
Nacional de Bases de Datos, de manera independiente, cada una
de las bases de datos que contengan datos personales sujetos a
Tratamiento.
Los ciudadanos podrán consultar en el Registro Nacional de Bases
de Datos, la información mínima prevista en el artículo 5 del
presente decreto con el fin de facilitar el ejercicio de sus derechos
a conocer, actualizar, rectificar, suprimir el dato y/o revocar la
autorización.
DEBER DE INSCRIPCION Y CONSULTA
29. Datos de identificación, ubicación y contacto del
Responsable. del Tratamiento de la base de datos;
Datos de identificación, ubicación y contacto del o de los
Encargados del Tratamiento de la base de datos;
Canales para que los titulares ejerzan sus derechos;
Nombre y finalidad de la base de datos;
Forma de Tratamiento de la base de datos (manual y/o
automatizada), y
Política de Tratamiento de la información.
Información Minima
30. Cuando el Responsable del Tratamiento de la base de datos
sea una persona jurídica, deberá indicar su denominación o
razón social y su número de identificación tributaria; así
como sus datos de ubicación y contacto. Cuando el
Responsable del Tratamiento sea una persona natural,
inscribirá sus datos de identificación, ubicación y contacto.
Responsable del tratamiento
31. Son los medios de recepción y atención de peticiones, consultas y
reclamos que el Responsable del Tratamiento y el Encargado del
Tratamiento deben poner a disposición de los Titulares de la
información, con los datos de contacto respectivos, por medio de los
cuales el Titular puede ejercer sus derechos a conocer, actualizar,
rectificar y suprimir sus datos personales contenidos en bases de datos y
revocar la autorización que haya otorgado para el Tratamiento de los
mismos, cuando esto sea posible. Estos canales deben prever, por lo
menos, la posibilidad de que el Titular ejerza sus derechos a través del
mismo medio por el cual fue recogida su información, dejando
constancia de la recepción y trámite de la respectiva solicitud.
Canales para ejercer derechos
32. PLAZO PARA INSCRIPCION
Articulo 12 y 14 Decreto 886 de 2014
Inscripción: Los Responsables del Tratamiento deberán inscribir
sus bases de datos en el Registro Nacional de Bases de Datos
dentro del año siguiente. a la fecha en que la Superintendencia
de Industria y Comercio habilite dicho registro, de acuerdo con
las instrucciones que para el efecto imparta esa entidad. Las
bases de Datos que se creen con posterioridad a ese plazo,
deberán inscribirse dentro de los dos (2) meses siguientes,
contados a partir de su creación.
Actualización: Los Responsables del Tratamiento de las bases
de datos deberán actualizar en el Registro Nacional de Bases de
Datos la información inscrita cuando haya cambios· sustanciales,
según sean definidos por la Superintendencia de Industria y
Comercio.
35. Identificar las bases de
datos, tratamientos y
responsables.
Revisar el cumplimiento
del deber de información
y obtención de la
autorización.
Revisar contratos
internos y externos.
Revisar los controles
técnicos existentes.
Evaluar la efectividad de las
medidas de proteccioón
implementadas.
Evaluar el conocimiento del
personal sobre seguridad y
protección de datos.
AUDITORÍA TÉCNICO -
LEGAL
ANÁLISIS DE LA SITUACIÓN ACTUAL
36. 36
AUDITORÍA TÉCNICO -
LEGAL
IMPLEMENTACIÓN DEL PLAN DE PROTECCIÓN
Elaborar
políticas de
tratamiento
de datos
personales.
Elaborar
contratos con
los
encargados
del
tratamiento.
Definir e
implementar
controles
técnicos.
Formación
integral.
37. CONTROLES TÉCNICOS
PROTECCION DEL
ACCESO
PROTECCION DE
LOS DATOS
• Autenticación
fuerteProtección del acceso
Protección de los datos
• Cifrado
• Tokenizacion
• Monitoreo
uso BBDD
• Fuga de
datos
Movilidad y acceso remoto
• Acceso remoto
seguro
• Protección de
dispositivos móviles
(BYOD)
38. FORMACIÓN
• Concientización en
protección de datos
• Curso experto en protección
de datos
• Concientización en
seguridad
• Curso implantador ISO
27000
• Curso auditoría ISO 27000
• Curso Lead Auditor ISO
27000
39. • Atención y gestión de derechos
• Gestión de la documentación
• Procedimientos y políticas
• Gestión de autoevaluación y
auditorías internas
• Identificacion del nivel de riesgo de
los datos
• Gestión e identificación de bases de
datos
REGISTRO, SEGUIMIENTO Y REPORTES -
PLATAFORMAS DE GESTION EN PDP
Plataforma para la gestión integral de las normas de
protección de datos.