Exposición grupo 6, Legislación Colombiana de Documentos Electrónicos y Seguridad Informática, presentado por JHON ALEXANDER ZARATE VERA
TERESA RODRÍGUEZ ORTIZ
CARLOS ANDRES ROMERO
Tema 10. Dinámica y funciones de la Atmosfera 2024
Exposición grupo 6, Legislación Colombiana de Documentos Electrónicos y Seguridad Informática
1. UNIVERSIDAD DEL QUINDÍO
CIENCIA DE LA INFORMACIÓN Y LA DOCUMENTACIÓN,
BIBLIOTECOLOGÍA Y ARCHIVÍSTICA
GESTIÓN DE DOCUMENTOS ELECTRÓNICOS G1
PROFESOR
JORGE MARIO ZULUAGA
GRUPO DE EXPOSICIÓN No. 6
JHON ALEXANDER ZARATE VERA
TERESA RODRÍGUEZ ORTIZ
CARLOS ANDRES ROMERO
2014
3. LEGISLACIÓN DOCUMENTOS
ELECTRÓNICOS
Con las nuevas tecnologías se inicia la utilización del documento electrónico, como
una forma de manifestación de la voluntad administrativa.
La aplicación de estas tecnologías a la gestión de la información ha dado lugar a
disciplinas como la gestión documental, permitiendo su tratamiento informático. La
mayor parte de la producción de información en forma de documentos se realiza por
medio de herramientas informáticas.
Para conseguir una gestión eficaz y ágil una vez los documentos gestionados, éstos
deben tener una estructura homogénea a la que se le puedan aplicar mecanismos
automáticos de tratamiento, gestión y explotación.
En los procesos de generación, producción de toda esta información se utilizan
herramientas informáticas que permitan automatizarlos y se crean leyes para su
protección .
4. Por medio del cual se suprimen y reforman regulaciones, procedimientos o
trámites innecesarios, existentes en la Administración Pública”, y se dispuso en
su artículo 26 que las entidades de administración pública deberían habilitar
sistemas de transmisión electrónica de datos para que los usuarios enviaran o
recibieran información requerida en su actuación frente a la administración y
que en ningún caso las entidades públicas podrían limitar el uso de tecnologías
para el archivo documental por parte de los particulares, sin perjuicio de sus
niveles tecnológicos.
Más tarde, se establecieron disposiciones concernientes a la factura electrónica
a través de la Ley223 de 1995, el Decreto 1094 de 1996 y el Concepto dela Dian
No. 40333 de 2000.
DECRETO 2150 de 1995
5. LEY 270 DE 1996 (MARZO 7)
ESTATUTARIA DE LA ADMINISTRACIÓN DE
JUSTICIA
MEDIOS DE PRUEBA…
Se Establece por primera vez en la legislación colombiana, el
reconocimiento del documento electrónico (validez y eficacia)cuando
en su artículo 95 dispone : “Tecnología al servicio de la Administración
de Justicia : El Consejo Superior de la Judicatura debe propender por la
incorporación de tecnología de avanzada al servicio de la
administración de justicia. Esta acción se enfocará principalmente a
mejorarla práctica de la pruebas, la formación, conservación y
reproducción de los expedientes, la comunicación entre los despachos
y a garantizar el funcionamiento razonable del sistema de información.
Los juzgados tribunales y entidades judiciales podrán utilizar medios
técnicos, electrónicos, informáticos y telemáticos, para el
cumplimiento de sus funciones.
6. COMERCIO ELECTRÓNICO
Firma digital Comercio electrónico
Mensaje de datos Entidad de certificación
Regulado por la ley 527/99 la cual se implemento para
definir y reglamentar al uso y acceso de mensajes de datos
7. LEY 527 DE 1999
Define y reglamenta el acceso y uso de los mensajes de datos, el comercio
electrónico, las firmas digitales, las entidades de certificación y dicta otras
disposiciones. Esta conformada por 47 artículos, distribuidos en cuatro partes, así:
1.mensaje de datos y comercio electrónico
2. transporte de mercancía
3. firmas digitales, certificados y entidades de certificación
4. reglamentación y vigencia.
Para la elaboración del proyecto de ley que culmino con la promulgación de la ley
527 de1.999 se utilizo el proyecto modelo o proyecto tipo de ley preparado por la
comisión de las naciones Unidas parea el desarrollo del derecho mercantil
internacional “CNUDMI” sobre comercio electrónico. Colombia entro a regular con
dichas disposiciones del comercio electrónico y las relaciones económicas
generadas a través de los nuevos mecanismos de comunicación electrónica, óptica,
vía telefax, telegrama, etc,. La legislación Colombiana sobre comercio electrónico
y mensajes de datos regula la nueva forma tecnológica de realizar negocios, las
pruebas virtuales y electrónicas, útiles para el derecho privado y público, pero
especialmente útil al derecho comercial, cada vez en mayor expansión.
8. Artículo 10
“Admisibilidad y fuerza probatoria de los mensajes de datos. Los
mensajes de datos serán admisibles como medios de prueba y su fuerza
probatoria es la otorgada en las disposiciones del Capítulo VIII del
Titulo XIII, Sección Tercera, Libro Segundo del Código de
Procedimiento Civil.
Artículo 11
“Criterio para valorar probatoriamente un mensaje de datos. Para
la valoración de la fuerza probatoria de los mensajes de datos a que se
refiere esta Ley, se tendrán en cuenta las Reglas de la Sana Crítica y
demás criterios reconocidos legalmente para la apreciación de las
pruebas. Por consiguiente, habrán de tenerse en cuenta: la
confiabilidad en la forma que se haya generado, archivado o
comunicado el mensaje, la confiabilidad en la forma en que se haya
conservado la integridad de la información, la forma en que se
identifique a su iniciador y cualquier otro factor pertinente”.
LEY 527 DE 1999
9. Artículo 29
Características y requerimientos de las entidades de certificación. Podrán ser
entidades de certificación, las personas jurídicas, tanto públicas como privadas,
de origen nacional o extranjero y las cámaras de comercio, que previa solicitud
sean autorizadas por la Superintendencia de Industria y Comercio y que
cumplan con los requerimientos establecidos por el Gobierno Nacional, con
base en las siguientes condiciones:
a) Contar con la capacidad económica y financiera suficiente para prestar los
servicios autorizados como entidad de certificación
b) Contar con la capacidad y elementos técnicos necesarios para la generación
de firmas digitales, la emisión de certificados sobre la autenticidad de las
mismas y la conservación de mensajes de datos en los términos establecidos en
esta ley
c) Los representantes legales y administradores no podrán ser personas que
hayan sido condenadas a pena privativa de la libertad, excepto por delitos
políticos o culposos; o que hayan sido suspendidas en el ejercicio de su
profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta
inhabilidad estará vigente por el mismo período que la ley penal o
administrativa señale para el efecto.
LEY 527 DE 1999
10. Decreto 1747 de 2000: Por el cual se reglamenta
parcialmente la Ley 527 en lo relacionado con las
entidades de certificación, los certificados y las firmas
digitales.
Decreto 266 de 2000: por el cual se dictan normas
para suprimir y reformar las regulaciones , trámites y
procedimientos. Este decreto se aplica a todos los
organismos públicos o bien privados que ejerzan por
atribución legal funciones públicas y adoptan una
postura uniforme frente al mensaje de datos y la firma
digital.
11. La Ley 962 de 8 de Julio de 2005, legisla sobre la
racionalización de trámites y procedimientos
administrativos de los organismos y entidades del Estado y
de los particulares que ejercen funciones públicas o prestan
servicios públicos. En su artículo 1° se menciona como
objetivo de la ley facilitar las relaciones de los particulares
con la administración pública. Para ello el fortalecimiento
tecnológico tiene como fin articular la actuación de la
administración pública y disminuir los tiempos y costos de
realización de los trámites por parte de los administrados,
incentivándose el uso de medios electrónicos.
LEY 962 DE 8 JULIO DE 2005
12. DECRETO 2364 DE 2012
Por medio de la cual se reglamente el artículo 7 de la ley
527 de 1999, sobre la firma electrónica y se dictan otras
disposiciones.
Artículo 3. Cumplimiento del requisito de firma.
Cuando se exija la firma de una persona, ese requisito
quedará cumplido en relación con un mensaje de datos
si se utiliza una firma electrónica que, a la luz de todas
las circunstancias del caso, incluido cualquier acuerdo
aplicable, sea tan confiable como apropiada para los
fines con los cuales se generó o comunicó ese mensaje .
13. Artículo 4. Confiabilidad de la firma electrónica. La firma
electrónica se considerará confiable para el propósito por el
cual el mensaje de datos fue generado o comunicado si:
1) Los datos de creación de la firma, en el contexto en que son
utilizados, corresponden exclusivamente al firmante .
. 2) Es posible detectar cualquier alteración no autorizada del
mensaje de datos, hecha después del momento de la firma.
Parágrafo. Lo dispuesto anteriormente se entenderá sin
perjuicio de la posibilidad de que cualquier persona:
1) Demuestre de otra manera que la firma electrónica es
confiable; o
2) Aduzca pruebas de que una firma electrónica no es
confiable.
DECRETO 2364 DE 2012
14. Artículo 5. Efectos jurídicos de la firma electrónica. La firma
electrónica tendrá la misma validez y efectos jurídicos que la
firma, si aquella cumple con los requisitos establecidos en el
artículo 3 de este decreto.
Artículo 6. Obligaciones del firmante. El firmante debe:
1) Mantener control y custodia sobre los datos de creación de la
firma.
2) Actuar con diligencia para evitar la utilización no autorizada de
sus datos de creación de la firma.
3) . Dar aviso oportuno a cualquier persona que posea, haya
recibido o vaya a recibir documentos o mensajes de datos
firmados electrónicamente por el firmante, si: a) El firmante
sabe que los datos de creación de la firma han quedado en
entredicho; o b) Las circunstancias de que tiene conocimiento
el firmante dan lugar a un riesgo considerable de que los datos
de creación de la firma hayan quedado en entredicho
DECRETO 2364 DE 2012
15. Artículo 8. Criterios para establecer el grado de seguridad
de las firmas electrónicas. Para determinar si los
procedimientos, métodos o dispositivos electrónicos que se
utilicen como firma electrónica son seguros, yen qué
medida lo son, podrán tenerse en cuenta, entre otros, los
siguientes factores:
1) El concepto técnico emitido por un perito o un órgano
independiente. y especializado.
2) La existencia de una auditoría especializada, periódica e
independiente sobre los procedimientos, métodos o
dispositivos electrónicos que una parte suministra a sus
clientes o terceros como mecanismo electrónico de
identificación personal.
DECRETO 2364 DE 2012
16. Las consecuencias de la informatización en los
instrumentos de consulta rápida de los archivos.
CristopherKitchi, Asociación Latinoamericana de
archivos p.14-15
Manual de información y documentación. José López
Análisis documental-Fundamentos y procedimientos
de María Pinto Molina. Editorial Eudema S. A. p58 a
61//64 a 70 Los archivos y las nuevas tecnologías .
Memoria Decimo Seminario del Sistema Nacional de
Archivos – A. G. N. – Colombia. P.52--59
BIBLIOGRAFIA
19. INTRODUCCIÓN
SEGURIDAD INFORMATICA EN COLOMBIA LEY
1581 de 2012
Pese a que nuestro país cuenta con la ley estatutaria
1581, que tiene como objetivo regular el manejo de la
información. Sin embargo en nuestro país le falta
mucho más recorrido para lograr que esta ley
trascienda de la teoría. En este sentido, a nuestro
país aún le falta un largo recorrido para adoptar
medidas que van más allá de la teoría. La
problemática se debe combatir por medio de
prácticas concretas que se conviertan en un tema de
cultura dentro de las empresas y los usuarios en
general.
Podemos afirmar que en nuestro país a pesar de
contar con normatividad, aún no se aplica
fuertemente, es decir, falta plantear lineamientos más
20. Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
Por la cual se dictan disposiciones generales para la protección
de datos personales.
El pasado 17 de octubre de 2012 se expidió la Ley Estatutaria
1581 “por la cual se dictan disposiciones generales para la
protección de datos personales”. La nueva ley busca proteger
los datos personales registrados en cualquier base de datos que
permite realizar operaciones, tales como la recolección,
almacenamiento, uso, circulación o supresión (en adelante
Tratamiento) por parte de entidades de naturaleza pública y
privada. Es importante resaltar que a los datos financieros no se
aplicará esta nueva ley, toda vez que estos se encuentran
regulados bajo la Ley 1266 de 2008.
21. Objeto de la Ley: “…. desarrollar el derecho
constitucional que tiene todas las personas a
conocer, actualizar y rectificar las informaciones que
se hayan recogido sobre ellas en bases de datos o
archivos, y los demás derechos, libertades y
garantías constitucionales a que se refiere el artículo
15 de la Constitución Política; así como el derecho a
la información consagrado en el artículo 20 de la
misma”.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
22. Exclusiones:
Bases de datos o archivos mantenidos en un ámbito
exclusivamente personal o doméstico
Bases de datos que tienen por finalidad la seguridad y defensa
nacional y la prevención y control del lavado de activos y
financiamiento del terrorismo.
Bases de datos de inteligencia y contrainteligencia.
Bases de datos y archivos periodísticos y otros contenidos
editoriales.
Bases de datos reguladas por la ley 1266 de 2008 (datos
financieros – crediticios).
Bases de datos del DANE (Ley 79 de 1993).
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
23. Definiciones:
• Dato personal: Cualquier información vinculada o que pueda
asociarse a una o varias personas determinadas o determinable
(dato público, dato semi-privado, dato privado y dato privado
sensible)
• Responsable del tratamiento: Persona natural o jurídica,
pública o privada, que por sí misma o en asocio con otros,
decida sobre la base de datos y/o el tratamiento de los datos.
• Encargado del tratamiento: Persona natural o jurídica, pública
o privada, que por sí misma o en asocio con otros, realicé el
tratamiento de datos personales por cuenta del responsable del
tratamiento.
• Titular: Persona natural cuyos datos personales sean objeto de
tratamiento.
• Tratamiento: Cualquier operación o conjunto de operaciones
sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
24. Esta ley determina los principios que deben seguirse en todo
Tratamiento de Datos Personales, dentro de los que se encuentra:
• Legalidad: El Tratamiento es una actividad reglada por lo tanto debe
sujetarse a lo establecido en ella y en las demás disposiciones.
• Finalidad: El Tratamiento debe obedecer a una finalidad legítima de
acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
• Libertad: El tratamiento sólo puede ejercerse con el consentimiento,
previo, expreso e informado del titular.
• Veracidad o calidad: La información sujeta a Tratamiento debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible.
• Transparencia: En el Tratamiento debe garantizarse el derecho del
titular a obtener del responsable del tratamiento o del encargado del
tratamiento, en cualquier momento y sin restricciones, información
acerca de la existencia de datos que le conciernan.
• Acceso y circulación restringida: El tratamiento se sujeta a los límites
que se derivan de la naturaleza de los Datos Personales, de las
disposiciones de la presente ley y la Constitución.
• Seguridad: Los Datos Personales deben Tratarse con las medidas
técnicas, humanas y administrativas para dar seguridad a los registros
de las bases de Datos Personales.
• Confidencialidad: Todas las personas que participen en el Tratamiento
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
25. Estos principios, por expresa disposición, sí son aplicables a los
datos financieros.
Se crean dos categorías de sujetos que realizan el tratamiento
de datos personales el “Responsable” y el “Encargado” del
tratamiento.
El primero será la persona que, por si o con asocio con otros
decida sobre la base de datos y el Encargado es toda persona
que, por sí misma o en asocio con otros, realice el Tratamiento
de datos personales por cuenta del Responsable del
Tratamiento.
En este último grupo pueden encuadrarse las actividades
realizadas por Data y Document en la prestación de sus
servicios. No obstante dichas empresas actuarán en calidad de
“Responsables” de la información cuando de manera autónoma
decida sobre la base de datos y/o el Tratamiento de los datos.
Dado que ambas empresas actuarán de forma paralela como
“responsables” y “encargados” del tratamiento a continuación se
definen las responsabilidades en ambos escenarios:
.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
26. 1. Como principales deberes de los Responsables tenemos:
solicitar y conservar, en las condiciones previstas en la presente
ley, copia de la respectiva autorización otorgada por el Titular:
Debe solicitarla y conservarla e informar al titular la finalidad de
la recolección y los derechos que le asisten.
Informar al titular sobre la finalidad de la recolección.
Conservar la información bajo condiciones de seguridad
Garantizar que la información que se suministre al Encargado
del Tratamiento sea veraz, completa, exacta, actualizada,
comprobable y comprensible: Debe garantizar que la
información sea veraz, completa, exacta, actualizada,
comprobable y comprensible, actualizar la información
comunicando al encargado las novedades y adoptar medidas
para que la misma se mantenga actualizada. Adicionalmente
debe rectificar la información incorrecta y comunicar al
encargado e indicarle cuando la información este en discusión
por parte de su titular.
Actualizar la información, comunicando de forma oportuna al
Encargado del tratamiento, todas las novedades que sean del
caso.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
27. Rectificar la información cuando sea incorrecta.
Suministrar al Encargado del Tratamiento, según el caso,
únicamente datos cuyo Tratamiento esté previamente autorizado
de conformidad con lo previsto en la presente ley.
Tramitar las consultas y reclamos formulados en los términos
señalados en la presente ley.
Adoptar un manual interno de políticas y procedimientos para
garantizar el adecuado cumplimiento de la presente ley, y en
especial, para la atención de consultas y reclamos.
Informar a la autoridad de protección de datos cuando se
presenten violaciones a los códigos de seguridad y existan
riesgos en la administración de la información de los Titulares.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
28. 2. Los principales deberes de los Encargados del Tratamiento:
Conservar la información bajo condiciones de seguridad: Debe
impedir la adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento, exigir al encargado el respeto a las
condiciones de seguridad y privacidad, adoptar un manual
interno de políticas y procedimientos e informar a la autoridad
cuando se presenten violaciones a los códigos de seguridad que
generen riesgos en la administración de la información.
Realizar oportunamente la actualización, rectificación o
supresión de los datos en los términos de la presente ley.
Actualizar la información reportada por los Responsables del
Tratamiento dentro de los cinco (5) días hábiles contados a partir
de su recibo.
Tramitar las consultas y los reclamos formulados por los
Titulares en los términos señalados en la presente ley,
garantizando al titular, en todo tiempo, el pleno y efectivo
ejercicio de su derecho de hábeas data y tramitar las consultas y
reclamos presentados.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
29. Adoptar un manual interno de políticas y procedimientos para
garantizar el adecuado cumplimiento de la presente ley y, en
especial, para la atención de consultas y reclamos por parte de
los Titulares.
Abstenerse de circular información que esté siendo controvertida
por el Titular y cuyo bloqueo haya sido ordenado por la
Superintendencia de Industria y Comercio.
Informar a la Superintendencia de Industria y Comercio cuando
se presenten violaciones a los códigos de seguridad y existan
riesgos en la administración de la información de los Titulares.
Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
30. Por otra parte la norma establece que se requiere de una
autorización previa, expresa e informada por parte titular del
dato que este pueda tratarse. La Autorización del titular:
Debe ser previa e informada (no tácita)
Puede ser obtenida por cualquier medio que permita su consulta
posterior
No es necesaria en los siguientes casos: - Cuando la
información sea requerida por entidad pública en ejercicio de
sus funciones - Se trate de datos de naturaleza pública - En
casos de urgencia médica o sanitaria (si no es urgencia, debe
obtenerse la autorización) - Para fines históricos, estadísticos o
científicos - Datos relacionados con el Registro Civil
Adicionalmente la ley estableció dos categorías de datos que
reciben especial protección: (i) los datos sensibles y (ii) los datos
personales de los niños, niñas y adolescentes.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
31. La anterior Ley fue reglamentada por el Decreto 1377 de 2013 y a
continuación se resaltan sus principales aspectos:
El artículo 2º del decreto, se refiere a un tipo de tratamiento excluido de
la aplicación del régimen general de protección de datos. Se trata de
los datos mantenidos en ámbitos meramente personales o domésticos.
Señala el decreto, que se entiende por ámbito personal o doméstico
aquellas actividades inscritas en el marco de la vida privada o familiar
de las personas naturales.
Un punto importante con relación al art. 3 del decreto se refiere a que
subsisten las inquietudes frente a lo que se entiende por transferencia y
transmisión de datos ya que estas nociones permanecen de manera
imprecisa y aún no terminan por aclarar lo que aparece de manera
indeterminada en la ley. Al respecto puede inferirse del articulado en
contexto con el art. 26 de la ley, que ambas nociones guardan una
estrecha consonancia pero debe advertirse que la transferencia hace
alusión al procedimiento relacional entre el responsable y un receptor
(que adquiere el papel del responsable) ubicado dentro o fuera de
Colombia. Por su parte la transmisión se refiere más a la operación o
proceso de comunicar en una relación de extremos, entre el
responsable y el encargado. Debe resaltarse que la ley semana que la
transmisión implica per se un tratamiento sobre el dato, mientras la
transferencia no.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
32. Bajo el capítulo 2 del decreto, se agrupan una serie de nociones
frente al elemento “Autorización” bajo los principios que orientan
el deber ser en el tratamiento de datos personales. En efecto,
inicial el art. 4 por desarrollar bajo los principios de finalidad y
libertad la forma en cómo debe operar la recolección de los
datos de los titulares. Frente al art. 7 del decreto se regula el
modo de obtener la autorización bajo el amparo del art. 9 de la
ley. Permite el tratamiento automatizado de
la autorización para el tratamiento, siempre que ella se
manifieste por escrito o de forma verbal o por medio de una
conducta del titular que permita inferir de forma razonable su
consentimiento en el tratamiento de la información. Aclara el
artículo que esta inferencia no puede arribarse por vía de
silencio del titular. El art. 9 del decreto al desarrollar la facultad
del titular de revocar la autorización y por esta vía suprimir sus
datos introdujo como obligatorio para el responsable y/o
encargado la disposición de mecanismos gratuitos y de fácil
acceso para presentar su solicitud de supresión. Efectuada la
reclamación por parte del titular el encargado contará con 15
días hábiles para proceder a su supresión so pena de ser
sancionado.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
33. Es importante resaltar las previsiones del art. 10 del decreto ya
que introduce un procedimiento para la refrendación o validación
de los datos personales recogidos con anterioridad a la vigencia
del decreto. La disposición en mención impone a los
responsables y encargados un procedimiento que deberá
cumplirse a fin de continuar con el tratamiento de datos
personales sobre bases de datos anteriores al decreto. De la
redacción del artículo 10 tenemos que podrán validarse los
datos recogidos en bancos de datos hasta el día 26 de junio de
2013, así:
El responsable solicitará la autorización a los titulares para
continuar con el tratamiento; esto lo podrá hacer por medio
automático (esto es mail, acceder a una Web etc) permitiendo
que el titular autorice por cualquier medio su tratamiento. En
esta misma comunicación el responsable deberá hacer conocer
al titular su política de tratamiento de la información así como el
modo de ejercer sus derechos a conocer, actualizar, rectificar y
suprimir sus datos. Si transcurridos 30 días hábiles a partir de
dicha comunicación, el titular no expresa su intención de
supresión del dato, la norma supone que ha operado la
autorización y por ende el responsable o encargado podrá
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013
34. El capítulo 4 del Decreto aborda la cuestión de las políticas de
tratamiento como documento cardinal para el establecimiento de
un macro sistema de aseguramiento de la información en las
organizaciones. Este documento será la carta de navegación
para las empresas para el manejo adecuado en protección de
datos. Así mismo se advierte de la necesidad de confeccionar el
aviso de privacidad como otra herramienta para la difusión de
las políticas de los titulares de los datos.
El art. 16 señala la obligación de conservar el modelo de aviso
de privacidad utilizado en momentos específicos.
El art. 23 hace obligatorio la adopción a nivel organizacional de
la función de responsable de los datos personales. Al señalar
que esta designación puede recaer sobre una persona o un área
configura de manera amplia la forma en que las empresas
podrán cumplir este requisito.
Bajo el art. 25 se señala que el contrato entre responsable y
encargado deberá especificar las circunstancias especiales y las
principales características del instrumento regulador de la
relación entre el dueño de la base de datos y quien la gestiona.
Ley 1581 de 2012, reglamentada
parcialmente por el Decreto 1377 de
2013