TRIANA, URIBE & MICHELSEN LEY 1581 DE 2012 ASPECTOS RELEVANTES EN LA NORMATIVIDAD DE LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA Tatiana López Romero 17 de septiembre de 2013 Calle 93B No P. 4, Bogotá D.C., , Colombia Tels.: (57-1) – Fax: (57-1) – Website:
Ley 1581 de 2012 Decreto No de 2013 Sentencia C de 2011 Control Constitucional de la Ley Estatutaria de HD
Estructura de la Ley 1581 de 2012 TÍTULO I Objeto, ámbito de aplicación y definiciones (arts. 1 – 3) TÍTULO II Principios Rectores (art. 4) TÍTULO III Categorías especiales de datos (arts. 5 -7) TÍTULO IV Derechos y condiciones para el tratamiento (arts. 8 – 13) TÍTULO V Procedimientos (arts. 14 – 16) TÍTULO VI Deberes de los responsables y encargados del tratamiento (arts. 17 – 18)
Estructura de la Ley 1581 de 2012 TÍTULO VII CAPÍTULO II Procedimientos y sanciones (arts. 22 – 24) CAPÍTULO III Registro Nacional de Base de Datos (art. 25) TÍTULO VIII Transferencia de datos a terceros países (art. 26) TÍTULO IX Otras disposiciones – normas corporativas vinculantes (BCR’S) – régimen de transición (arts. 27 – 30)
GENERALIDADES Reglamentación de carácter general, no sectorizada (Ley 1266 de 2008 y Ley 1273 de 2009). Aplicable a todos los tipos de datos salvo art. 2 de la Ley (censo, defensa nacional, etc.) El modelo de protección es un esfuerzo de Colombia por ajustarse a los estándares internacionales y lograr el reconocimiento de nivel de protección adecuado.
GENERALIDADES La Ley está construida sobre el sistema jurídico que considera la protección de los datos personales como un derecho constitucional (art. 15 Constitución Política). La Ley de protección de datos personales abarca de modo general las tendencias legislativas de otros países como Urugay y México.
OBJETO, APLICACIÓN Y DEFINICIONES Desarrollar el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos (art. 15 Constitución Política).
OBJETO, APLICACIÓN Y DEFINICIONES Los principios y disposiciones de la Ley son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada (art. 2).
OBJETO, APLICACIÓN Y DEFINICIONES Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Dato Personal Conjunto organizado de datos personales que sea objeto de Tratamiento. Base de datos Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Tratamiento
OBJETO, APLICACIÓN Y DEFINICIONES Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. Responsable Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Encargado Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Tratamiento
PRINCIPIOS RECTORES Finalidad Libertad Veracidad Confidenc ialidad Seguridad Transparencia
CATEGORÍAS ESPECIALES DE DATOS DATOS SENSIBLES Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, partidos políticos, datos biométricos, etc.
CATEGORÍAS ESPECIALES DE DATOS El Tratamiento está proscrito salvo: a)El Titular haya dado su autorización explícita. b)El Tratamiento sea necesario para salvaguardar el interés vital del Titular. c)El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical.
DERECHOS DE LOS TITULARES NIÑOS, NIÑAS Y ADOLESCENTES
CATEGORÍAS ESPECIALES DE DATOS NIÑOS, NIÑAS Y ADOLESCENTES Add me on facebook
DERECHOS DE LOS TITULARES a)Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. b)Solicitar prueba de la autorización otorgada al Responsable del Tratamiento. c)Ser informado respecto del uso que le ha dado a sus datos personales. d)Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento
AUTORIZACIÓN Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
¿CUÁNDO NO SE REQUIERE LA AUTORIZACIÓN? a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas.
DEBERES DE LOS RESPONSABLES a) Solicitar y conservar copia de la respectiva autorización otorgada por el Titular. b) Informar debidamente al Titular sobre la finalidad de la recolección. c) Conservar la información bajo las condiciones de seguridad. d) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley.
DEBERES DE LOS RESPONSABLES Artículo 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo; b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; c) Los derechos que le asisten como Titular; d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
PERSONAS A QUIENES SE LES PUEDE DAR LA INFORMACIÓN Entidades públicas o administrativas (orden judicial) Terceros autorizados por la ley o el Titular Causahabientes o representantes legales
CONSULTAS: ¿Quién? Titular o sus causahabientes. ¿Para qué? Consultar cualquier información que repose en cualquier base de datos. ¿Cómo? A través del medio que el responsable/encargado haya habilitado para el efecto, siempre y cuando pueda mantener prueba de la consulta. ¿Cuándo? Se debe atender en un término máximo de 0 días hábiles contados desde el recibo de la solicitud, prorrogables solamente por 5 días más.
RECLAMOS ¿Quién? Titular o sus causahabientes. ¿Para qué? Solicitar la corrección, actualización o supresión de un dato personal de una base de datos. También aplica cuando el titular advierta el incumplimiento de alguna disposición de la ley o sus decretos reglamentarios. ¿Cómo y cuándo? En la base de datos se debe advertir la leyenda “reclamo en trámite”, hasta que el reclamo se tramite. Debe atenderse en un término máximo de 15 días hábiles contados a partir del día siguiente a la fecha de su recibo, prorrogable por un término de 8 días hábiles más. Se debe motivar la razón de la prórroga.
El titular o causahabiente solamente podrá elevar una queja ante la Superintendencia de Industria y Comercio, después de haber adelantado cualquiera de los dos procedimientos anteriores ante el Responsable/Encargado.
AUTORIDAD DE PROTECCIÓN DE DATOS (Desde abril 17 de 2013) Adelantar las investigaciones del caso, de oficio o a petición de parte. Disponer el bloqueo temporal de los datos. Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos. Administrar el Registro Nacional Público de Bases de Datos. Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales
PROCEDIMIENTOS Y SANCIONES Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles Suspensión temporal de las actividades relacionadas con el Tratamiento
PROCEDIMIENTOS Y SANCIONES La dimensión del daño o peligro.El beneficio económico obtenido por el infractor.La reincidencia en la comisión de la infracción. La resistencia, negativa u obstrucción a la acción investigadora. La renuencia o desacato a cumplir las órdenes impartidas. El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción.
Reglamentación parcial de la Ley 1581 de Temas principales: 1) Autorización del Titular para el Tratamiento. 2) Políticas de Tratamiento. 3) Ejercicio de los derechos de los Titulares de la información.
Recolección de datos: (Artículo 4) Se deberá limitar a los datos personales pertinentes y adecuados para la finalidad de la recolección. Deber de información de la finalidad de la recolección: (Artículo 5) Previo o simultáneo a la recolección. Obtención de la autorización: (Artículo 5) Previa a o simultánea a la recolección. Autorización para Tratamiento de Datos Sensibles: (Artículo 6) Se debe advertir que el suministro de datos sensibles es facultativo. Ninguna actividad se podrá condicionar a la entrega de datos sensibles. Se debe especificar cuáles de los datos recolectados son sensibles, y los derechos de los titulares con respecto a ellos.
¿Cómo obtener la autorización? (Artículos 7 y 8) Los mecanismos los establecerán los Responsables: Deben garantizar la posibilidad de consulta y deberán conservar prueba de la autorización. La autorización puede ser escrita, oral u otorgarse por medio de conductas inequívocas. EL SILENCIO NO PUEDE TOMARSE NUNCA COMO AUTORIZACIÓN.
Revocatoria de la autorización y/o supresión del dato: (Artículo 9) Se puede hacer siempre y en cualquier momento. El Responsable/Encargado debe poner a disposición de los Titulares mecanismos gratuitos y de fácil acceso para el efecto. Si vencido el término del proceso de reclamo el Responsable/Encargado no ha suprimido el/los dato(s) personal(es), el Titular podrá acudir a la SIC para que ordene la revocatoria de la autorización o la supresión del (los) dato(s).
Datos recolectados antes del Decreto: (Artículo 10) Los Responsables deberán solicitar autorización para continuar con el tratamiento de los datos personales, y también, deberán poner en su conocimiento la existencia y la forma de consultar su Política de Tratamiento, y los mecanismos para ejercer sus derechos. ¿Cómo? A través de mecanismos eficientes de comunicación (usados en el curso ordinario de la interacción con los titulares registrados en sus bases de datos): s, cartas, página de Internet, aviso de periódico, etc.
Si dentro de los 30 días hábiles siguientes a la comunicación los Titulares no solicitan la supresión de sus datos personales, se entiende que la autorización ha sido prorrogada para la finalidad establecida en la Política de Tratamiento, sin perjuicio del derecho a revocar la autorización/suprimir datos en cualquier momento. Fecha límite: 27 de julio de No se estableció sanción por el incumplimiento del plazo.
Generales: (Artículo 13) Las deben desarrollar los Responsables, y deben velar porque los Encargados las cumplan. Deberán constar en medio físico o electrónico. Lenguaje claro, fácil de entender. Se deben dar a conocer a los Titulares. Deben incluir, entre otra, la siguiente información como mínimo: -El Tratamiento al que se van a someter los datos personales. -Persona o área responsable de atender consultas y reclamos. -Procedimientos establecidos para ejercer sus derechos. -Fecha de entrada en vigencia. ¡Ojo!! Cualquier cambio sustancial en las Políticas de Tratamiento debe informarse a los Titulares antes o al tiempo de realizarse.
¿Quién puede ejercerlos? (Artículo 20) Titular. Causahabientes. Representante y/o apoderado del Titular. Estipulación a favor de otro o para otro. Niños y niñas: Personas facultadas para representarlos. Derecho al acceso: (Artículo 21) Mecanismos sencillos, ágiles y permanentemente disponibles. Regla general: Los Titulares podrán consultar de forma gratuita sus datos personales al menos una vez por mes calendario y cuando haya cambios sustanciales en las Políticas de Tratamiento. Excepción: Consultas de periodicidad superior, se pueden cobrar los gastos de envío, reproducción, y certificación de documentos, si es el caso.
REGISTRO NACIONAL DE BASES DE DATOS NO ES UNA GRAN BASE DE DATOS EN LA QUE SE ALMACENEN TODOS LOS CONTENIDOS DE LAS BASES DE DATOS DEL PAÍS ¡PENDIENTE REGLAMENTACIÓN!!!!
TRANSFERENCIA INTERNACIONAL Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.
TRANSFERENCIA INTERNACIONAL NO APLICA LA PROHIBICIÓN CUANDO: a) Información respecto de la cual el Titular haya otorgado su autorización; b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública; c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable; d) Transferencias en el marco de tratados internacionales; e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento; f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
DISPOSICIONES FINALES VIGENCIA: 17 de octubre de 2012 RÉGIMEN DE TRANSICIÓN: 6 meses (17 de abril de 2013) NORMAS CORPORATIVAS VINCULANTES (BCR): Por reglamentar.
PREGUNTAS
GRACIAS