DATOS PERSONALES El nuevo derecho en Colombia
1. Conceptos básicos 2. Regulación en Colombia 3. Compromisos 4. Aspectos específicos 4.1. La autorización 4.2. Listas Negras 4.3. Venta y cesión de bases de datos 4.4. Actividad como proveedores 4.5. Atención de peticiones 4.6. SIC y registro nacional de bases
1. Conceptos básicos
Dato personal. Cualquier dato o conjunto de datos que hacen referencia o pueden ser asociados directa o indirectamente a una persona.
La clasificación. Puede ser incluido y consultado en bases de datos de manera libre y sin restricciones. Público Privado Intimo o reservado. Sólo puede ser conocido por la persona o su entorno más cercano, a menos que exista expresa autorización para su divulgación y, aún así, con limitaciones, como en el caso de aquella información considerada sensible, tal y como ocurre con la relacionada con la inclinación sexual y el credo. Semiprivado Dato que a pesar de no ser público si puede resultar de interés para ciertos grupos de personas que requieren tener acceso al mismo.
Qué es habeas data (derecho a la protección de datos) PRIVACIDAD Posibilidad que tiene cualquier persona natural o jurídica que figura en un registro o banco de datos, de acceder a tal registro para conocer qué información existe sobre ella, y de solicitar la corrección o actualización de esa información.
Los dueños de los datos Las fuentes (responsables) Encargados Los usuarios
EL DESFALCO A LA SALUD EN COLOMBIA
2. Regulación en Colombia
NO ES Normas de protección al consumidor. ISO 27000. Circular 052 de la Superfinanciera. (SARC Circular Básica Contable Cap II) Circular 022 de la Superfinanciera. (Circular Básica Jurídica Tit I Cap XII)
La constitución de 1991. Marco general del derecho de Habeas data en Colombia. jurisprudencia.
Ley 1266 de 2008 Dirigida a bases de riesgo crediticio fuentes y usuarios (entidades públicas o privadas). Derechos de los titulares. Deberes de los operadores. Deberes de los usuarios. Deberes de las fuentes. Garantizar que la información sea exacta, veraz, completa y actualizada. Reporte de información negativa previa comunicación al titular con 20 días calendario de anticipación. Certificación semestral de contar con las autorizaciones. Atención de consultas y reclamos.
Ley 1266 de 2008 Superintendencias Ordenar retiro o corrección de datos, si es a petición de parte requisito de procedibilidad haber acudido antes a la fuente o al operador sin ser atendido o con respuesta desfavorable. Iniciar de oficio o a petición de parte investigaciones contra fuentes, operadores y usuarios. Sanciones a. Multas personales e institucionales sucesivas hasta por a mil quinientos (1.500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. b. Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses. c. Cierre o clausura de operaciones del banco de datos.
Cifras de la SIC 50 multas entre marzo 2010 y enero 2011. 23 multas mensuales entre enero 2011 junio 2012. Valores entre 5 y 350 SMMLV.
Ley de protección de información personal Aprobada por la Corte Constitucional mediante sentencia C-748/11. Dirigida a todas las bases de datos existentes (excepciones puntuales). Sólo protege los datos de personas naturales. Autorización e información completa al titular. Creación nueva Delegatura de Protección de Datos Personales. Registro Nacional de Bases de datos con información personal.
Deberes de los encargados Ley de protección de información personal Garantizar ejercicio del derecho de hábeas data. Actualizar y rectificar la información oportunamente. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida o uso no autorizado. Tramitar las consultas y reclamos formulados. Adoptar un manual interno de políticas y procedimientos para la protección de datos personales. Atender auditorías por parte de los responsables de la información en cuanto a cumplimiento de la ley y seguridad
Sanciones SIC Multas personales y/o institucionales hasta por dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas pueden ser sucesivas. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES. La ley penal El que, sin estar facultado para ello Con provecho propio o de un tercero obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en archivos, bases de datos o medios semejantes. Cárcel de 4 a 8 años y multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Más agravantes. Personas jurídicas = administradores
3. Compromisos
Los riesgos Legal Reputacional Operativo Contractual Desconocimiento de las normas al interior de la entidad. Inexistencia de políticas y procedimientos. Clientes y usuarios inconformes. Inadecuado manejo de información. Inexistencia de acuerdos de confidencialidad con los empleados. Vulnerabilidad tecnológica / Fugas de información. Deficiente control en el manejo de la documentación y archivo. Bajo nivel de capacitación de los funcionarios. Autorizaciones incompletas para recolección y uso de la información. Sistema de información a titulares y usuarios deficiente. Penas de cárcel y sanciones por parte de entidades de control y órganos jurisdiccionales. Sanciones por parte de entidades de control y órganos jurisdiccionales. Sanciones por parte de entidades de control. Penas de cárcel y sanciones por parte de entidades de control y órganos jurisdiccionales.
4. Temas específicos
4.1. La Autorización
Contenido mínimo Finalidades (mercadeo y cobranzas entre otras) Posibilidad de consulta y reporte Maneras de compartir la información Importación y exportación de datos Protección de habeas data Tratamiento
4.2. Listas negras
Sentencia T-947 de 2008 Corte Constitucional. Listas negras Empresa transportadora reportó a sus gremios posible hurto y daño de mercancía transportada. Violaciones: Principio de libertad, los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular El principio de veracidad, los datos personales deben obedecer a situaciones reales, es decir, deben ser ciertos y comprobables. Principio de finalidad, La finalidad constitucionalmente legítima, definida de manera clara, suficiente y previa. Prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.
Listas negras Sentencia T-632 de 2010 Corte Constitucional. la expedición del certificado judicial de un modo que dé cuenta de la existencia, por parte de su titular, de antecedentes penales, supone inicialmente una violación a sus derechos al buen nombre y al habeas data. Si esto es al DAS que puede pensarse de entidades privadas? Ley 1266 de 2008 art. 14 Páragrafo 4 Se prohíbe la administración de datos personales con información exclusivamente desfavorable.
Listas negras Sentencia C-1011 de 2009 listas negras vs listas de riesgo En las primeras, en forma contraria a derecho quien las elabora incluye en ellas nombres de personas jurídicas o naturales cuya consecuencia es la existencia, en la práctica, de un cierre de la oportunidad de crédito en cualquier establecimiento de carácter comercial y financiero. En las segundas, lo que se hace es incluir el comportamiento histórico del deudor para que la entidad crediticia a quien se le envía evalué si frente a ese comportamiento otorga, y en qué condiciones el crédito respectivo o si, se abstiene de ello. Cfr. Corte Constitucional, Sentencia T-1322/01 Código Penal art. 269f.
4.3. Venta y cesión de bases de datos
SIC inicia investigaciones Abril 19 de 2012 Ley de protección de información personal. Favorece la administración de información pública sin requerimientos. Ley penal. Proscribe cualquier manejo sin discriminar que tipo de información se trata.
4.4. Actividad como proveedores
Resolución 1809 de la Superfinanciera del 13 de septiembre de 2010 Resolución 2373 de la Superfinanciera del 14 de diciembre de 2010
4.5. Atención de peticiones (consultas quejas reclamos)
De las principales obligaciones para toda entidad ya sea como responsable o encargado del tratamiento de los datos. Garantiza la efectividad de la posibilidad de ejercicio del habeas data.
4.6. SIC y registro Nacional de bases de datos
Vigilancia de fuentes, operadores, usuarios, responsables y encargados. Impartir instrucciones y órdenes sobre el cumplimiento de la ley. Funciones Velar que se cuenten con procedimientos y medidas de seguridad para el cuidado de la información personal. Ordenar o solicitar documentos que tengan que ver con auditorías externas practicadas. Iniciar investigaciones administrativas. Imponer sanciones. Fijar normas mínimas para definición de puerto seguro de un territorio extranjero y proferir declaración de conformidad a la exportación de datos. Crear, regular y llevar el registro nacional de bases de datos.
Registro Nacional de Bases de datos Objeto Que todos los ciudadanos conozcan cuáles son las bases de datos que funcionan en el país y en las que se encuentran incluidos. Que la Superintendencia tenga un control preciso sobre éstas, en la medida que podrá establecer quién y cómo se trata la información en el territorio colombiano y conocimiento de las políticas de tratamiento de la información que tienen los responsables y encargados del manejo de datos personales, las cuales deben, como mínimo, contener los deberes que estipula la ley La sentencia C-748 de 2011 parecería ordenar que además de la inscripción de las bases, se envíen los listados de las personas que las componen para que la persona pueda ejercer su derecho al habeas data.
GRACIAS PEDRO NOVOA SERRANO www.novoafernandez.com.co pnovoa@novoafernandez.com.co