TRATAMIENTO Y PROTECCIÓN DE BASES DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN    

Constitución Política Derecho a la Intimidad Habeas Data Ley 1581 de 2012 Ley 1266 de 2008 Decreto 886 de 2014 Decreto 1377 de 2013 Circular Externa No. 002 de 2015 Reglamenta inscripción de bases de datos de empresas privadas y de economía mixta

Derecho Fundamental a la intimidad ARTÍCULO 15 CONSTITUCIÓN A la forma en que vivimos, nos relacionamos, nuestros gustos, en lo que creemos entre otros Derecho Fundamental a la intimidad Es el derecho al buen nombre, el derecho a conocer, actualizar y rectificarlos datos que son recogidos y tratados por entidades de carácter publico o privado Derecho al habeas data

LEY 1581 DE 2012 El objetivo principal es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos. Articulo 20: Derecho a la información. A Informar y recibir información veraz e imparcial Incluye también el derecho a autorizar el tratamiento, incluir nuevos datos, excluirlos o suprimirlos de una base de datos o archivo

¿QUÉ SON LOS DATOS PERSONALES? Cualquier información concerniente o vinculada a personas naturales determinadas o determinables.

CLASIFICACIÓN Dato público: El aquel calificado como tal según la Constitución o la ley y que no sea clasificado como privado o semiprivado Dato semiprivado: Es aquel que es conocido y de interés no solo para el titular sino para determinado sector de personas o para la sociedad en general Dato privado: Es el dato que por su carácter íntimo o reservado es relevante para el titular.

Dato Sensible y de Niños, Niñas y Adolescentes Afecta la intimidad del titular y cuyo uso incorrecto podría generar discriminación. Tiene un especial tratamiento Datos niñas, niños y adolescentes menores de edad tiene carácter sensible.

¿Qué son las Bases de Datos? Conjunto de datos personales que son objeto de tratamiento por una persona natural o jurídica. (clientes, trabajadores, proveedores) Para que se trate de una base de datos, la información personal tiene que estar sistematizada de cualquier modo, manual y/o automatizado.

Principio de autorización (libertad) Autorización Expresa (por cualquier medio oral o escrito) – Guardar Prueba Consentimiento previos , expreso e informado del titular para llevar a cabo el tratamiento de los datos personales. La jurisprudencia constitucional ha exigido tal condición y ha dicho que el consentimiento debe ser explícito y concreto a la finalidad específica de la base de datos. Por otro lado, la Ley indica que la autorización sea “obtenida por cualquier medio que pueda ser objeto de consulta posterior” lo que evidencia el por qué debe ser expresa la misma. Finalmente, el carácter informado de la autorización quiere decir que el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización.53 Acorde a todas estas características de la autorización no se permiten autorizaciones tácitas y el silencio del titular tampoco puede entenderse como autorización, y ésta debe ser previa, expresa e informada en todos los casos, para así cumplir con los requisitos legales y no tratar de manera ilícita la información. También es importante resaltar que al momento de pedir la autorización la ley 1581 de 2012 le impone al responsable del tratamiento la obligación de informarle de manera clara y expresa al titular lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;

¿Qué es el tratamiento de las bases de datos? Cualquier operación o conjunto de operaciones sobre datos personales 1. Recolección, 2. Almacenamiento, 3. Uso, 4. Circulación, 5. Supresión.

Principio de Confidencialidad y Principio de Seguridad Reserva de la Información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento. La información sujeta a tratamiento por el Responsable del tratamiento o el Encargado del tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros SE DEBEN TENER MEDIDAS DE SEGURIDAD evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento Decir

Registro Nacional de Bases de Datos Definición Finalidad del Registro Requisitos mínimos Políticas de Tratamiento Plazos Sanciones ART 25 LEY 1581 – DECRETO 886

¿Que es el Registro Nacional Bases de Datos? Directorio público de las bases de datos con información personal sujetas a Tratamiento que operan en el país. ¿Quien es la entidad competente?

¿Que se debe registrar? Información que identifique la base de datos que se maneja Las bases de datos no se cargan

REQUISITOS MINIMOS PARA EL REGISTRO Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos; 2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos; 3. Canales para que los titulares ejerzan sus derechos; 4. Nombre y finalidad de la base de datos; 5. . Forma de Tratamiento de la base de datos (manual y/o automatizada), y 6. Política de Tratamiento de la información. 7. las medidas de seguridad de la información,

¿QUIÉN DEBE REGISTRARSE ESTE AÑO? LAS EMPRESAS PRIVADAS Y DE ECONOMIA MIXTA REGISTRADAS ANTE CÁMARA DE COMERCIO DECRETO 886 DE 2014

¿CUANDO DEBEN REGISTRARSE? DECRETO 886 DE 2014

Máximo hasta 30 de junio de 2017 Decreto 1759 2016 Máximo hasta 30 de junio de 2017

¿Que pasa si no registro o le doy un mal tratamiento a la bases de datos personales ?

Sanciones Sanciones Administrativas Artículo 23 de La ley 1581 de 2012 Sanción por violación al régimen de protección de datos personales. a. Multas 2000 SMLMV = 1,378,910,000 b. Suspensión de las actividades relacionadas con el tratamiento de datos. c. Cierre temporal de las operaciones relacionadas con el tratamiento si no se toman los correctivos necesarios d. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles Sanciones por el mal tratamiento de las bases de datos personales

Sanciones Sanciones Penales Artículo 258 CP Utilización indebida de información privilegiada Prisión de 1) a tres (3) años y multa de cinco (5) a cincuenta (50) SMLMV. $3,447,275 – $34,472,750 Articulo 269F Ley 1273 de 2009 Violación de datos personales. Prisión de (48) a (96) meses de prisión y en multa de 100 a 1000 SMLMV 68,945,500 – 689,455,000 Sanciones por el mal tratamiento de las bases de datos personales

Seguridad de la información El mundo real

Seguridad de la información Preservación de la confidencialidad, Integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de negocio de la organización CONFIDENCIALIDAD Solo los autorizados pueden verla INTEGRIDAD Asegurar su completitud y libre de errores DISPONIBILIDAD Siempre lista para ser usada

Pilares de la seguridad I = Pérdida (Confidencialidad + Disponibilidad + Integridad)

MARTINEZ DEVIA & ASOCIADOS GRACIAS MARTINEZ DEVIA & ASOCIADOS Dirección: Cra. 11 Nº 94 - 47 Of. 502 Telefax: (571) 4573941 Cel:3102582220 email: amartinez@martinezdevia.com Bogotá - Colombia