Ley de protección de datos personales y registro de bases de datos SEBASTIÁN BETANCOURT RESTREPO OCTUBRE DE 2016

Transcripción

1 Ley de protección de datos personales y registro de bases de datos SEBASTIÁN BETANCOURT RESTREPO OCTUBRE DE 2016

2 Agenda Derecho fundamental de Hábeas data Ley 1266 de 2008: A quiénes aplica? Ley 1581 de 2012: Qué regula? Cuáles bases de datos no se registran? Definiciones y principios clave Tipos de datos Autorización del titular Casos que no requieren autorización Procedimientos de consultas y reclamos Manual de políticas de tratamientos de datos personales Registro nacional de bases de datos Responsabilidades derivadas del tratamiento de datos

3 Derecho fundamental de Hábeas Data Información que repose en bases de datos Exclusión y/o limitación Actualizar Art. 15 CN Rectificar Inclusión Conocer Acceso

4 Marco legal del Hábeas Data Ley 1266 de 2008 Decreto 2952 de 2010 Ley 1581 de 2012 Decreto 1377 de 2013; Decreto 886 de 2014

5 Ley 1266 de 2008: A quiénes aplica? Regula principalmente el tratamiento a la información: Crediticia y financiera Comercial De servicios Extranjera

6 Ley 1266 de 2008 Regula los reportes negativos y positivos en operadores de datos (centrales de riesgo) Determina el funcionamiento de las centrales de riesgo Regula acceso a consultas en las centrales de riesgo y procedimientos de reclamos

7 Decreto 2952 de 2010 Establece el impacto de la fuerza mayor en el reporte de las obligaciones por las centrales de riesgo.

8 Ley 1581 de 2012: Qué regula El tratamiento de datos personales Obligaciones de los responsables de la información Derechos del titular de la información Procedimientos de consultas y reclamos Sanciones

9 Qué bases de datos no se registran? Personales Seguridad y defensa nacional. Inteligencia y contrainteligencia

10 Qué bases de datos no se registran? Información periodística Bases de datos de la ley 1266 de 2008 Bases de datos para el censo

11 Definiciones clave de la ley 1581 de 2012 Autorización Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales Base de datos Conjunto organizado de datos personales que sea objeto de Tratamiento Dato personal Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables Encargado tratamiento Persona encargada de realizar el Tratamiento de datos personales por cuenta del Responsable del Tratamiento

12 Definiciones clave de la ley 1581 de 2012 Responsable tratamiento Persona, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos Tratamiento Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión Titular Persona natural cuyos datos personales sean objeto de Tratamiento

13 Principios de la ley 1581 de 2012 Legalidad Confidencialidad Finalidad Acceso Libertad Transparencia Veracidad Seguridad

14 Tipos de datos que reposan en las bases de datos Público Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Semiprivado Dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o personas, como el dato financiero y crediticio

15 Tipos de datos que reposan en las bases de datos Privado Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular Sensible Información que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación

16 Autorización del titular Concepto clave: consentimiento informado del titular expreso y previo Es deber contar con la autorización previa, del titular de la información, para que sea incluida en las bases de datos? Qué sucede si no se cuenta con la autorización para realizar el tratamiento? Se puede realizar el reporte del dato negativo al operador del banco de datos, sin informar previamente al titular de la información?

17 Autorización del titular Puede condicionarse alguna actividad a que el titular proporcione información sensible?

18 Cuándo no se requiere la autorización? a) Información requerida por una entidad pública o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas

19 Procedimiento de consulta de la ley 1581 de 2012 Sirve para acceder a la información Se formula por escrito, telefónicamente, vía web, , conservando la prueba Debe resolver en 10 días hábiles Legitimados: titular o sus causahabientes

20 Procedimiento de reclamos de la ley 1581 de 2012 Finalidad Para solicitar corrección, modificación o supresión Requisitos Hechos, pruebas, dirección de notificación Respuesta En 15 días hábiles Legitimados: titular o sus causahabientes Es requisito de procedibilidad

21 Manual de políticas de tratamientos de datos personales Es uno de los principales deberes que establece la ley a los responsables y/o encargados del tratamiento de información. Su finalidad es garantizar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en las bases de datos o archivos.

22 Qué debe contener el manual? Identificación del responsable de la información Uso de la información Autorización Reglas de procedimiento para reclamos y consultas

23 Registro Nacional de Bases de Datos (RNBD) Directorio público de bases de datos sujetas a Tratamiento que operan en el país. Es administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Reglamentado por el decreto 886 de Empezó a operar en noviembre de 2015

24 Plazo para inscribirse en el RNBD A más tardar al año siguiente de su puesta en marcha (08/11/2016). Después de esta fecha, a más tardar dentro de los dos meses siguientes a la creación de la base de datos. La inscripción se hace en el portal de la Superintendencia de Industria y Comercio:

25 Responsabilidades derivadas del tratamiento de datos personales Responsabilidad penal: Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

26 Responsabilidades derivadas del tratamiento de datos personales Civil Perjuicios materiales y morales derivados del uso desautorizado de los datos personales Administrativa Multas hasta de 2000 salarios mínimos. Cierres temporales y definitivo

27 Preguntas y reflexiones finales