ÍNDICE

PROTECCIÓN DE DATOS PERSONALES – REGISTRO NACIONAL DE BASES DE DATOS.

ALGUNAS PREGUNTAS FRECUENTES

RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE LA ORGANIZACIÓN

DEBER DE ACTUALIZACIÓN DE LA INFORMACIÓN DEL RNDB

OBLIGACIONES ESPECIALES DE LOS RESPONSABLES DEL TRATAMIENTO

OBLIGACIONES DE LOS ENCARGADOS DEL TRATAMIENTO.

PROTECCIÓN DE DATOS PERSONALES – REGISTRO NACIONAL DE BASES DE DATOS.

La sociedad de la información en la que nos desenvolvemos hoy día ha hecho que nuestros datos personales estén circulando en internet sin siquiera ser conscientes de ello, nuestra información y datos personales las compartimos todo el día a través de diversos canales sin controlar que tipo de datos y quien puede verlos.

Uno de estos canales y formas de compartir información personal puede ser desde los servicios de google, hasta los datos que entregamos en los almacenes para que nos informen promociones, o los que compartimos en Facebook a quien le contamos nuestros gustos, preferencias, los lugares que visitamos, como nos sentimos, entre otros. Esta cantidad de datos que ahora navegan en internet y la manera como son procesados se denomina Big Data y se usan para interpretar los gustos y preferencias de los consumidores para encaminar la oferta de bienes y servicios.

Esta entrega masiva de datos a internet y a las demás empresas con las que nos relacionamos permite que el manejo de nuestros datos se salga de nuestro control y ya no sepamos a quién le informamos aspectos relevantes sobre nosotros o quienes poseen nuestros datos, es así que estos son usados sin muchas veces estar autorizados para hacerlo, situación que puede generar un uso no adecuado de nuestros datos, o el daño a nuestro nombre y reputación.

En consonancia con lo dicho se observa que nuestra la constitución colombiana en su artículo 15 estableció el derecho a la intimidad y el buen nombre como sigue:

Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. (…)

Para darle aplicación a este artículo se promulgó la Ley 1582 de 2012, el Decreto 1377 de 2013 y demás normas sobre protección de datos en las que se establecen los derechos de los titulares de esta información, es decir, los derechos de las personas que entregan sus datos para ser tratados, específicamente se indica que todos tenemos derecho a CONOCER, RECTIFICAR, ACTUALIZAR nuestros datos personales, y REVOCAR el consentimiento para que sean tratados, con la posibilidad de solicitar la supresión de los mismos.

Como punto fundamental para el correcto tratamiento de los datos personales es vital solicitar la autorización a las personas titulares de los mismos, toda vez que la ley exige que esta autorización será previa, expresa, e informada de tal suerte que las autorizaciones deberán indicar:

1. Identificación y ubicación del responsable, es decir de la empresa o persona que recolecta la información y los canales de comunicación que existen para que el titular que da sus datos se comunique con la empresa a fin de ejercer sus derechos.

2. Consentimiento previo, expreso e informado, indicar en la autorización que la aceptación es posterior a que se le hayan informado sus derechos y la finalidad con que se recoge la información.

3. ¿Qué vamos hacer con la información? Informar el tratamiento que se hará de la información, recordar en este aspecto que el tratamiento es toda operación u operaciones que se hagan sobre los datos tales como, recolección, almacenamiento, uso, circulación o supresión almacenamiento,

4. ¿Para qué la vamos a utilizar? Este punto trata sobre las finalidades con que se usará la información, específicamente actividades que realiza la empresa como comunicarles a los clientes promociones y descuentos, realizar encuestas de satisfacción, realizar campañas de fidelización del

cliente, etc., estas finalidades dependerán del área de la empresa en que se haga uso de los datos.

5. Tipo de datos que serán recolectados, indicar si se recolecta el nombre, teléfono, documento, dirección, estado civil, composición familiar, entre otros.

6. Obligación de no suministrar los datos (datos personales sensibles y de menores), para los datos sensibles y de menores de edad la ley no obliga a que estos deban autorizar el tratamiento de sus datos para prestarles el servicio, es decir, que si no autorizan el tratamiento de sus datos personales igual debería prestárseles el servicio.

7. Derechos de quien suministra información, la ley dispone que debemos informarles a los titulares que tiene derecho a CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR sus datos personales y la autorización que otorgaron para su tratamiento

8. Medio mediante el cual se obtuvo el consentimiento, este aspecto se refiere a que si el titular desea conocer la autorización y los datos que suministro, pueda obtenerla, por lo que es ideal que quede en algún tipo de soporte la autorización que otorgó el titular.

9. Momento en que se obtiene el permiso, para indicar a partir de cuándo se tiene la autorización a tratar el dato, es importante tener una fecha que nos indique este momento.

Una vez y/o concomitante a la autorización, la empresa debe establecer políticas de tratamiento de datos personales que se apliquen al interior de la compañía, estas políticas deben contener mínimo los siguientes apartados señalados en la ley

1. Soporte Físico o Electrónico, indicar en la política como se podrá acceder a esta, sea porque la empresa la cuelgue en su página WEB o porque tenga otros mecanismos para darla a conocer, puede ser a vuelta de correo electrónico, por visita a las instalaciones de la empresa, o la tenga accesible en una cartelera en sus instalaciones.

2. Nombre de la persona, domicilio, dirección, correo electrónico y teléfono. (Datos del responsable) estos datos se referirán a la personas o área encargada dentro de la empresa que será la responsable de tramitar las consultas y reclamaciones relacionadas a tratamiento de datos personales

3. ¿Para qué la vamos a utilizar? (Tratamiento) según la ley podemos recolectar, almacenar, usar y suprimir, entre otras actividades de tratamiento que se pueden hacer con los datos personales.

4. ¿Qué vamos hacer con la información? Es decir, con qué finalidades trataremos la información, estas finalidades marcarán el alcance de las actividades a ejecutar con los datos personales, y podrán estar determinadas por las áreas de la empresa, por ejemplo, finalidades para el área de recursos humanos,

5. Derechos de quién suministra los datos, los titulares conservan la libertad de realizar consultas para conocer la información que se tiene de ellos, así como solicitar la rectificación actualización o supresión del dato personal, además revocar su consentimiento

6. Área de la empresa para elevar peticiones relacionadas con los datos personales, la empresa deberá indicar la persona o área de la empresa encargada de recibir las consultas y reclamaciones de los usuarios respeto a sus datos personales.

7. Procedimiento para las reclamaciones de quienes suministran información, el procedimiento de consulta y reclamación se encuentra en la ley en el art 14 y 15 del decreto 1377 de 2013

8. Entrada en vigencia, será la fecha a partir de la cual la política se publique o haga conocer por primera vez.

9. Periodo de vigencia, indicará hasta cuando aplicará la política de tratamiento de datos de la empresa

Otro aspecto importante para el correcto tratamiento de los datos personales son las medidas de seguridad, estas dependerán de cada empresa y del tipo de datos que maneje, dado que el manejo de datos sensibles exige mayor diligencia y medidas fuertes de seguridad, las empresas podrán anonimizar los datos o encriptarlos. De modo general la empresa podrá establecer una política de seguridad donde se documente cada cuanto se cambiarán las contraseñas, quienes tendrán los perfiles, como será la destrucción de la información que contenga datos personales, entre otros.

Una vez entendido que se debe obtener la autorización por el titular, que la empresa debe tener una política de tratamiento de datos personales y que deben existir medidas de seguridad, la empresa estará lista para inscribir las bases de datos en Registro Nacional de Bases de datos, para lo que deberá responderse las siguientes preguntas:

1. Conocer el correo electrónico que la sociedad Responsable del tratamiento de datos personales tiene inscrito en el Registro Mercantil,

2. El número de matrícula mercantil de la sociedad y la ciudad de la cámara de comercio en la cual está matriculada. Esta información se encuentra en el certificado de existencia y representación legal.

3. Quién tiene la administración del correo electrónico antes mencionado, el cual será el usuario y al que se enviará la clave de acceso y las notificaciones del resultado del registro de cada base de datos.

4. El inventario de las bases de datos con información personal que reposen o no en las instalaciones de la organización, bien sea en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales,

etc.) estas bases de datos pueden ser de empleados, clientes, proveedores que contenga información de:

a. Cantidad de bases de datos con información personal (edad, identificación, fechas de nacimiento)

b. Cantidad de titulares por cada base de datos. (si es de empleados, por ejemplo, la cantidad de empleados)

5. Información detallada de los canales o medios que se tienen previstos para atender a los titulares. Estos canales van encaminados a que el usuario pueda relacionarse con la empresa para corregir algún dato,

6. Tipo de datos personales contenidos en cada base de datos a los que se realiza tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros.

7. Ubicación física de las bases de datos. Al respecto se preguntará si la base de datos se encuentra almacenada en medios propios, por ejemplo, archivadores o servidores (dependiendo de si se trata de un archivo físico o una base de datos electrónica), internos o externos a las instalaciones físicas del responsable.

8. Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados.

9. Información sobre si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos. No de todos se tiene la autorización, pero habrá que empezar a conseguirla

10. Forma de obtención de los datos (directamente del titular o mediante terceros).

11. Si la base de datos se ha cedido, se solicitará se solicitará la información básica del cesionario.

ALGUNAS PREGUNTAS FRECUENTES

� ¿Qué pasa si no cuento con alguna información de la solicitada para el registro? Debemos tener claro que los elementos obligatorios para realizar el registro corresponden a la autorización del titular, canales de atención, política de tratamiento, responsable, características de las bases de datos

� ¿Si no cuento con medidas de seguridad de la información puedo registrar la base de datos? ¿Qué pasa si no tengo implementadas todas las políticas de seguridad de protección de datos que me solicita el formulario? Al menos debe contar con alguna medida de seguridad que podría ser el acuerdo de confidencialidad. Lo demás se sugiere implementar para fortalecer la protección de los datos personales, ya que en que caso de cualquier reclamación o investigación, la superintendencia solicitará dichas medidas para definir si son idóneas y establecer el grado de responsabilidad de la empresa frente a una posible violación. Finalmente, todo corresponde a las obligaciones que deben cumplir los responsables y encargados de acuerdo a la normatividad expedida en la materia

� ¿Cómo sé que la persona que da los datos es la que dice ser? Porque ya tenía una información previa que permitía identificar la persona y además partimos de la buena fe, guardando siempre el soporte de la obtención de la autorización

RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE LA ORGANIZACIÓN

1. Cuando se envíe un correo electrónico a un grupo de personas, enviarlo con copia oculta; de lo contrario se entiende realizada una cesión de datos, para lo que muy posiblemente no se tenga autorización, ello puede conllevar a investigaciones y sanciones por la superintendencia de Industria y Comercio.

2. Revisar la autorización cada vez que se quiere hacer un tratamiento diferente a las finalidades autorizaciones en el documento de autorización

3. En caso de haber alguna reclamación de algún usuario por el uso de su información de carácter personal, acceder al registro de bases de datos para agregar esta como una novedad, al reporte de novedades, reclamos.

4. Reportar los incidentes de seguridad en que se incurra durante el tratamiento de los datos personales, por incidente de seguridad debe entenderse toda violación a los códigos de seguridad frente al acceso o intento de acceso uso o divulgación o destrucción no autorizada de información de una base de datos administrada por el responsable de dicha información, estos incidentes deberán reportarse al RNBD dentro de las (24) horas siguientes al momento que se detecten.

5. En caso de que el responsable utilice encargados de tratamiento, deberá informarles que le den traslado de cualquier ejercicio de derechos que reciba, a no ser que en la relación entre ambos se contemple que el encargado atienda también estos derechos.

6. Implementar un procedimiento para la revocación del consentimiento

7. Definir los plazos de conservación de los datos personales, implementar procedimientos para determinar que se han cumplido los plazos máximos de conservación de los datos personales, de acuerdo a la normatividad y a las políticas de archivo de la empresa.

DEBER DE ACTUALIZACIÓN DE LA INFORMACIÓN DEL RNDB

Es deber de los responsables de las bases de datos actualizar dichas bases de acuerdo a lo establecido por la ley en los siguientes casos :

1. Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información como:

● Finalidad ● Encargado del Tratamiento ● Los canales de atención al Titular ● Clasificación o tipos de datos personales ● Medidas de seguridad de la información implementadas ● Política de Tratamiento de la Información ● Transferencia y transmisión internacional de datos personales

2. Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2018

3. Dentro de los (15) primeros días hábiles de los meses de febrero y agosto

de cada año, a partir de su inscripción, información de los reclamos presentados por los Titulares. El primer reporte: primer semestre de 2017: información del segundo semestre de 2016

OBLIGACIONES ESPECIALES DE LOS RESPONSABLES DEL TRATAMIENTO Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley 1582 de 2012 y las demás que rijan su actividad: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada; g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos; l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; m) Informar a solicitud del Titular sobre el uso dado a sus datos; n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio

OBLIGACIONES DE LOS ENCARGADOS DEL TRATAMIENTO.

Los encargados del Tratamiento deberán cumplir los siguientes deberes,

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos las leyendas "reclamo en trámite" en la forma en que se regula en la presente ley;

h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.