Acerca de
LEY DE PROTECCION DE DATOS
Esta Ley empezó a regir a partir del pasado mes de abril de 2013 “tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.
Conforme a la citada ley, se entiende como información personal sujeta a protección “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”, como las bases de datos con información sobre clientes, proveedores, pacientes, susceptible de tratamiento por entidades de naturaleza pública o privada.
Para el tratamiento de datos personales se requiere la autorización informada y expresa del titular debiendo tener éste el conocimiento respecto al uso que se le dará a su información.
El Responsable de los datos deberá, en todo caso, garantizar a las personas, el pleno y efectivo ejercicio del derecho de habeas data, que la información se conservará bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado. En el caso de los cesionarios de la información, debidamente autorizados y con conocimiento de las personas, se facilitará sólo la información cuyo tratamiento esté previamente autorizado por el titular.
Dicha ley obliga a todas las personas que capturan datos personales a crear la unidad, departamento, vicepresidencia o dirección para el encargado y/o responsable del tratamiento de datos personales.
Se deberá a crear el “Manual de Políticas de Tratamiento de Datos Personales”, logrando el nivel exigido por la Delegatura de Tratamiento de Datos Personales de la Superintendencias de Industria y Comercio.
Entre las obligaciones del Responsable del tratamiento cabe recordar que deberán garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada; rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento; suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos; informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; informar a solicitud del Titular sobre el uso dado a sus datos; informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares, así como cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
De forma adicional, dicha ley establece la protección de una nueva categoría denominada datos sensibles, así como la protección de datos relacionados con los derechos de los niños y adolescentes, otorgándoles un nivel más específico de protección.
La Delegatura para la Protección de Datos Personales, dentro de la Superintendencia de Industria y Comercio será el ente encargado de vigilar y controlar los datos personales, asegurando que su tratamiento respete los principios, derechos y garantías contenidos en la ley, que podrá imponer sanciones económicas que incluyen multas o la suspensión de las actividades relacionadas con el tratamiento de la información, e incluso el cierre temporal de las operaciones relacionadas con el tratamiento de la información, según sea el grado de infracción cometido.
Se debe recordar que el que viole la Ley 1581 de 2012, podría estar incurso en el delito de violación de datos personales, si se demuestra que su conducta es dolosa, tipificado en la Ley 1273 de 2009 “el que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
Por otra parte, en relación a los sitios webs, se deberá considerar la suplantación para capturar datos personales, tipificada en la Ley 1273 de 2009 “El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito”.
No obstante, la Delegatura de Tratamiento de Datos Personales de la Superintendencia de Industria y Comercio, deberá revisar con lupa la conducta del encargado y/o responsable del tratamiento de datos cuya custodia recae el fichero vulnerado.
Se crea el Registro Nacional de Bases de Datos, como directorio público de las bases de datos sujetas a Tratamiento que operan en el país. El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley (artículo 25 de la Ley).
Esta Ley conjuntamente con otras ya en vigor, como la Ley de Delitos Informáticos (1273 de 2009 de la que fui autor) en Colombia, logra elevar a bien jurídico tutelado la información y el dato, pudiendo concienciar a los capacitados (empleados y funcionarios) todo el tema de los delitos informáticos, haciendo énfasis en sus verbos rectores y las condiciones especiales del tipo penal, para que el personal le sea fácil establecer la presencia de una conducta de estas características y la puedan diferencia de un delito electrónico.
Los retos de implementación de la ley para asegurar una supervisión sólida y eficiente son de gran envergadura. La SIC, que desde el año pasado incorporó a su estructura una nueva delegatura de protección de datos personales, ha venido trabajando en la puesta a punto de su estructura para anticiparse a la entrada en vigencia de la nueva ley. A continuación, se plantean algunos de los más importantes retos.
Sistema Integral de Supervisión Inteligente
Considerando que el universo de vigilados, a diferencia de lo que ocurre actualmente con la Ley 1266 del 2008, es indeterminado, la SIC está diseñando y estructurando un nuevo sistema integral de supervisión inteligente para ejercer eficientemente la vigilancia de los responsables y encargados del tratamiento de datos personales.
Este sistema permitirá introducir criterios de priorización basados en la identificación de riesgos para focalizar los esfuerzos de gestión en tratamientos de datos con mayor impacto y frecuencia. El sistema prevé adicionalmente un alto componente de autogestión y se alimentará en gran medida por la información suministrada por los sujetos vigilados.
Registro Nacional de Bases de Datos
Un segundo gran reto es la estructuración, puesta en funcionamiento y administración del Registro Nacional de Bases de Datos (RNBD) que será, según la ley, el “directorio público de las bases de datos sujetas a tratamiento que operan en el país”. Este registro, cuyo contenido mínimo será reglamentado por el Gobierno dentro del año siguiente a la entrada en vigencia de la ley, deberá ser un instrumento útil y funcional para una adecuada implementación del modelo de supervisión.
Entre otros aspectos, el RNBD idealmente deberá permitirle al supervisor conocer la realidad de las bases de datos del país, el flujo y el tipo de información personal sujeta a tratamiento, los datos de contacto de los responsables o encargados del tratamiento, la finalidad de la recolección y las condiciones de seguridad de la información.
Categorías relevantes de clasificación de la información
El proyecto de ley estableció dos categorías de datos que reciben especial protección: (i) los datos sensibles y (ii) los datos personales de los niños, niñas y adolescentes.
Los datos sensibles son aquellos que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, de la vida sexual y datos biométricos). Su tratamiento está, en términos generales, prohibido salvo que concurra alguna de las excepciones previstas por el proyecto: (i) autorización explícita del titular o necesidad de salvaguardar su interés vital, (ii) realización del tratamiento en actividades legítimas relacionadas con el derecho de asociación, (iii) el ejercicio o defensa de un derecho en un proceso judicial o (iv) tratamientos con finalidad histórica, estadística o científica.
En lo que se refiere a los datos de menores de edad, se debe tener en cuenta que aunque el proyecto proscribe su tratamiento (con la excepción de aquellos que son de naturaleza pública) la Corte Constitucional precisó que tal prohibición debe interpretarse de forma tal que sí se pueda llevar a cabo pero siempre con plena protección de los derechos fundamentales del menor y con miras a la “realización del principio de su interés superior”. Esta modulación de la Corte permitirá superar los escollos de una norma excesivamente estricta que hubiera generado enormes dificultades prácticas de aplicación.
Normas corporativas vinculantes
Por último, es importante destacar la consagración legal de las normas corporativas vinculantes como un instrumento que permitirá fomentar las buenas prácticas empresariales y facilitará las transferencias internacionales de datos.