Consultoría y Asesoría en la Ley 1581 Protección de Datos Personales

La Ley 1581 o Ley de Protección de Datos fue creada para garantizar la seguridad y protección de los datos personales que se encuentran almacenados en las diferentes bases de datos de entidades de naturaleza pública o privada y que realicen algun tipo de tratamiento sobre los datos.

El tratamiento de datos hace referencia a cualquier operación o procedimiento técnico, sea o no automatizada que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. El tratamiento de datos esta regulado bajo los Art. 3, 4 y 6 de la Ley 1581 de 2012.

Los datos personales pueden ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación o a el nivel de riesgo al que se expone la organización cuando se violan los principios de integridad, confidencialidad y disponibilidad.

Un dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables y pueda ser relativa entre otras a:

• Su identidad: (como nombre y apellidos, domicilio, filiación, una fotografía o video, etc...)
• Sus ocupaciones: (estudios, trabajo, historial de actividades, etc.)
• Su Patrimonio: (Ingresos y egresos, cuentas bancarias, consumos, información fiscal,etc.)
• Su Formación: (Estudios, trayectoria, títulos, certificados etc.)
• Su Salud: (Estado de salud, historia clínica, enfermedades físicas o sicológicas,etc.)
• Sus Características: (Tipo de sangre, ADN, discapacidades, Raza, peso ,etc.)
• Su vida y Hábitos: (Sexuales, políticos, ideológicos, creencias, etc.)

Todas las personas naturales son titulares de sus datos personales. En el caso de menores de edad será el representante legal del menor de edad el titular de los datos personales y quien podrá autorizar o no el tratamiendo sobre los datos.

La Autorización es el consentimiento previo, expreso e informado que suministra el titular para llevar a cabo cualquier tratamiento sobre sus datos. Toda autorización deberá ser obtenida a más tardar al momento de la recolección de los datos y se deberá garantizar su posterior consulta.

Una autorización podra ser otorgada de forma escrita, oral o mediante conductas inequívocas que permitan concluir de forma razonable que otorgó la autorización.

Las empresas públicas o privadas que realicen tratamiento de datos son responsables y a su vez podrán ser encargadas si realizan tratamiento de datos por cuenta de otros responsables.

• Responsable: El responsable del tratamiento de los datos es una persona natural o jurídica, pública o privada, que por si misma o en asocio con otros decida sobre los datos y el tratamiendo de estos. (Una empresa es responsable de los datos de sus clientes y empleados)
• Encargado: El encargado es aquel que realiza el tratamiento de los datos personales en nombre o por cuenta de un responsable. (Una empresa es encargada cuando trata los datos de los clientes o empleados de un responsable)

Dentro del marco de cumplimiento tanto los responsables como los encargados deben cumplir principalmente con los siguientes deberes:

• Informar y garantizar el ejercicio de los derechos de los titulares de los datos personales
• Tramitar y dar respuesta oportunda a las consultas, solicitudes y reclamos
• Utilizar los datos que hayan sido recolectados para las finalides que hayan sido informadas
• Tratar únicamente los datos se encuentren autorizados o no requieran autorización
• Implementar y respetar las condiciones de seguridad y privacidad de la infomación
• Cumplir instrucciones y requerimientos impartidos por la autoridad administrativa

El incumplimiento de la Ley de protección de datos lo expone a sanciones de tipo económico y operativo, sin embargo también se expone a temas reputacionales que pueden ser perjudiciales para su empresa

• Sanciones económicas hasta por 2.000 SMMLV.
• Suspensión de acividades relacionadas al tratamiento hasta por seis (6) meses.
• Cierre temporal de las operaciones relacionadas con tratamiento de datos.
• Cierre definitivo de las operaciones relacionadas con tratamiento de datos sensibles.

Es el Directorio Público de las bases de datos con información personal sujetas a tratamiento que operan en el Colombia.

Sirve para conoer la realidad de las bases de datos personales en Colombia, la cantidad de titulares y tipos de datos tratados, quién o quiénes adelatan su tratamiento, la finalidad y las políticas de tratamiento, los canales y mecanismos dispuestos para recibir consultas, peticiones o reclamos.

Es una obligación en cabeza de los responsables del tratamiento, en la cual estos deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios.

Las medidas apropiadas o efectivas son todas aquellas que de manera específica y de acuerdo a los factores propios de cada organización demuestren un interés legítimo en la protección de la información personal, siendo estas por ejemplo:

• El apoyo y compromiso de la alta dirección para la implementación de buenas prácticas.
• La designación de una persona o área que asuma la función de protección de datos.
• Establecer mecanismos de información internos para el reporte y seguimiento al interior de la organización.
• El desarrollo y puesta en marcha de controles que permitan desarrollar un programa de PDP.
• El desarrollo e implementación de procedimientos administrativos consistentes con las políticas.
• Mantener un inventario actualizado y clasificado de las bases de datos.
• Desarrollar un sistema de administración de riesgos que permita identificar y manejar los riesgos asociados al tratamiento de datos personales.