RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC)

Transcripción

1 RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC) BOGOTÁ D.C., 30 DE AGOSTO DE 2017

2 DEFINICIONES AUTORIZACIÓN BASE DE DATOS DATO PERSONAL TITULAR Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales Conjunto organizado de datos personales que sea objeto de Tratamiento Cualquier información vinculada o que pueda asociarse a personas naturales Persona natural cuyos datos personales sean objeto de Tratamiento

3 DEFINICIONES TRATAMIENTO ENCARGADO DEL TRATAMIENTO RESPONSABLE DEL TRATAMIENTO DATOS SENSIBLES Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Persona que realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Persona que decide sobre la base de datos y/o el Tratamiento de los datos. Datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación Ejemplos: origen racial o étnico, orientación política, religión, salud. Todos los Datos de niños, niñas y adolescentes.

4 DERECHOS DE LOS TITULARES Ser informado del uso que le ha dado a sus datos personales. Presentar ante la SIC quejas por infracciones. Solicitar prueba de la autorización otorgada. Revocar la autorización y/o solicitar la supresión del dato personal. Conocer, actualizar y rectificar sus datos personales. DERECHOS DE LOS TITULARES Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

5 AUTORIZACIÓN DEL TITULAR Para el Tratamiento es obligatorio obtener la autorización previa e informada del Titular. Al momento de solicitar al Titular la autorización, se deberá informar de manera clara y expresa lo siguiente: El Tratamiento al cual serán sometidos los datos personales y la finalidad del mismo; El carácter facultativo de responder sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; Los derechos que tiene el Titular; La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. : Es obligatorio conservar prueba de la autorización y entregar copia cuando el Titular la solicite.

6 CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL TITULAR Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. Datos de naturaleza pública. Casos de urgencia médica o sanitaria. Información autorizada por la ley para fines históricos, estadísticos o científicos. Datos relacionados con el Registro Civil de las Personas.

7 A QUIÉN SE LE PUEDE SUMINISTRAR INFORMACIÓN? A los Titulares, sus herederos o sus representantes legales. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. A los terceros autorizados por el Titular o por la ley.

8 DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data. DEBERES Solicitar y conservar, la autorización otorgada por el Titular. Informar al Titular sobre la finalidad de la recolección y los derechos que tiene. Actualizar la información y comunicar al ET, todas las novedades respecto de los datos que previamente le haya dado. Garantizar que la información que se suministre al ET sea veraz, completa, exacta, actualizada, comprobable y comprensible.

9 DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Exigir al ET el respeto a las condiciones de seguridad y privacidad de la información. Informar al ET cuando determinada información se encuentra en discusión por parte del Titular. Rectificar la información cuando sea incorrecta y comunicar al ET. DEBERES Adoptar un manual interno de políticas y procedimientos. Tramitar las consultas y reclamos formulados. Suministrar al ET, únicamente datos cuyo Tratamiento esté previamente autorizado.

10 DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Cumplir las instrucciones y requerimientos que imparta la SIC. Informar a solicitud del Titular sobre el uso dado a sus datos. DEBERES Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información.

11 DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO Tramitar las consultas y los reclamos formulados por los Titulares. Adoptar un manual interno de políticas y procedimientos. Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data. DEBERES Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento Realizar oportunamente la actualización, rectificación o supresión de los datos personales

12 DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO Cumplir las instrucciones y requerimientos que imparta la SIC. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información. Registrar en la base de datos las leyenda "reclamo en trámite. DEBERES Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. Insertar en la base de datos la leyenda "información en discusión judicial. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la SIC.

13 CONSULTAS Y RECLAMOS CONSULTA RECLAMO Se debe habilitar un medio para que los Titulares o sus herederos hagan la consulta sobre los Datos Personales. Cuando la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión. Término máximo para responder: 10 días hábiles, prorrogables por 5 días hábiles más. Término máximo para responder: 15, días hábiles prorrogables por 08 días hábiles.

14 SANCIONES Multas hasta por smmlv. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles. SANCIONES Suspensión de las actividades relacionadas con el Tratamiento hasta por 6 meses. Cierre temporal de las operaciones relacionadas con el Tratamiento.

15 DEL REGISTRO NACIONAL DE BASES DE DATOS El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. El RNBD es administrado por la SIC. Se deben aportar las políticas de tratamiento de la información, las cuales obligarán a los Responsables y Encargados. La obligación de inscribir las bases de datos en el RNBD es del Responsable, indicando explícitamente quienes son los Encargados. Se deben inscribir las base de datos en el RNBD a través de Internet, ingresando a SIC en la sección de Protección de Datos Personales Subsección Sobre la protección de datos personales, al acceder al link del RNBD.

16 DEL REGISTRO NACIONAL DE BASES DE DATOS Término para inscribir las bases de datos en el RNBD: 31 de enero de 2018 para quine estén inscritos en las cámaras de comercio y 31 de enero de 2019 para quienes no estén inscritos en las cámaras de comercio. Información mínima que debe tener el RNBD: 1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos. 2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos. 3. Canales para que los titulares ejerzan sus derechos. 4. Nombre y finalidad de la base de datos. 5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y 6. Política de Tratamiento de la información.

17 METODOLOGÍA PARA IMPLEMENTAR LPD Revisar procesos Revisar políticas y procedimientos Determinar brechas Organizar inventarios Definir e implementar controles Ajustar contratos Recolectar autorizaciones Eliminar datos no requeridos Registrar bases de datos Mantener cumplimiento

18 ANÁLISIS DE CASOS Ficha del Caso Fecha: Mayo 2017 Sector de la Empresa: Actividades de centros de llamadas (Call center) Importe de la Sanción: 66 slmmv ($ ) Origen del Proceso: Denuncia Tipos de incumplimientos: Técnicos, Jurídicos, Procedimentales

19 ANÁLISIS DE CASOS Conclusiones El ciudadano puede elegir si su información personal puede ser utilizada o no en bases de datos. La información ya registrada en un usuario no puede pasar a otro organismo para que la utilice con fines distintos, sin la autorización previa, expresa y libre del titular. Ninguna entidad puede tener en sus bases de datos información personal privada o semiprivada de una persona si no cuenta con las debidas autorizaciones. No es legitimo utilizar los datos personales y luego pretender obtener una autorización de manejo.

20 ANÁLISIS DE CASOS Ficha del Caso Fecha: Junio 2016 Sector de la Empresa: Salud Importe de la Sanción: slmmv ($ ) Origen del Proceso: Denuncia Cliente Tipos de incumplimientos: Técnicos, Procedimentales

21 ANÁLISIS DE CASOS Conclusiones: La sanción castiga en especial el hecho de considerar que con un plazo de 20 meses durante los cuales los datos eran accesibles libremente queda patente que no se siguió la diligencia debida en cuanto a la validación de las medidas de seguridad presuntamente implementadas. Esto se multiplica por el hecho que las Bases de Datos contienen datos sensibles (salud y menores). La SIC es especialmente enfática con el hecho que la sancionada no comunicara del incidente. Esto puede sentar un precedente a notificar cualquier incidente en su interpretación más amplia a la SIC, sin interpretaciones.

22 GRACIAS PBX: PBX: Cra. 13a N 89-38, Of. 628 Calle 90 No Bogotá D.C. Bogotá D.C. ejaramillo@summa-consultores.com dfernandez@isecauditors.com