Régimen de protección de datos personales en Colombia Título Delegatura para la Protección de Datos Personales 2015 MARCO CONSTITUCIONAL Artículo 15 de la Constitución Política: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” . En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.” Regulación en materia de hábeas data D.R. 2952 de 2010 D.R. 1727 de 2009 D.R. 1377 de 2013 Reglamenta parcialmente Ley 1581 D.R 886 de 2014 Reglamenta Registro Nacional Bases de Datos Principios Ley 1581 de 2012 Legalidad Finalidad Libertad Veracidad o calidad Transparencia Acceso y circulación restringida Seguridad Confidencialidad 4 Categorías especiales de datos Datos sensibles Aquellos que afectan la intimidad de la personas o cuyo uso indebido puede generar discriminación. (Origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, vida sexual y biométricos). 5 Tratamiento de Datos Sensibles Está prohibido su tratamiento, a excepción de estos casos: Autorización explicita del titular Salvaguarda de interés vital del titular Actividades legítimas por fundaciones, ONG, asociación u organismo sin ánimo de lucro Reconocimiento, ejercicio o defensa de un derecho en un proceso judicial Finalidad histórica, estadística o científica (anonimizar) 6 Autorización tratamiento de Datos Sensibles Informar al titular cuáles de los datos recogidos son sensibles y la finalidad No obligación de autorizar tratamiento No puede condicionarse una prestación a la autorización 7 Ciclo de vida del dato La Gestión de la Información, es un conjunto de procesos por los cuales se controla el “ciclo de vida del dato”. Los procesos también comprenden la extracción, combinación, depuración y distribución de la información a los interesados. El objetivo de la Gestión de la Información es propender por la seguridad de la información, garantizando su integridad, disponibilidad y confidencialidad. Recolección (1) • ¿En qué parte del procedimiento o actividad se obtienen los datos (por creación o captura, manual o sistematizados)? • ¿Es necesaria la recolección? • Qué información se debe recolectar. • Cómo se debe recolectar la información. • ¿Se asegura la calidad de los datos a la hora de la captura de los mismos? • ¿Los datos recogidos presentan sensibilidad o trazabilidad? Recolección (2) • Se requiere la Autorización del Titular y se esta informando la finalidad. • Se deja prueba de la autorización • Se puede consultar posteriormente • El consentimiento es expreso • El procedimiento esta documentado • Aviso Privacidad • Políticas de tratamiento • Acceso a las políticas y finalidad • Se valida cuando se recolectan datos sensible que se informe al titular la no obligatoriedad de autorizar. Mantenimiento y uso (1) • Qué áreas o personas utilizan los datos. • ¿Los autorizados tienen acceso a información acorde con sus funciones? la • En qué procedimientos o actividades internas se procesan los datos y cuales de ellos requieren ser transferidos. • Se depuran, consolidan e integran los datos. • Medidas de seguridad o políticas de acceso. • Manipulan, actualizan y respaldan los datos. • Aseguran la calidad. Mantenimiento y uso (2) • Qué datos, personas o áreas intervienen en la transferencia y/o transmisión de información. • Se tienen terceros contratados que encarguen de la información personal. se • Los datos personales están clasificados. • Procedimiento para realizar oportunamente la actualización y rectificación de los datos. • Procedimiento para uso y circulación, como también para la actualización. • Procedimiento para comunicar los cambios en el tratamiento y la finalidad. Supresión o Disposición Final (1) • Cuánto tiempo se conservan los datos en la organización y cuáles son los medios para su eliminación. • Circunstancias y momento en que se debe eliminar la información o la Base de Datos. • Procedimientos de archivo documental con medidas de seguridad. • Se eliminan datos que se requiere mantener por otras Leyes o normas. • Se deben almacenar los datos eliminados con el fin de tomar medidas de prevención de solicitudes posteriores. Supresión o Disposición Final (2) • Procedimientos para atender la solicitud de revocar la autorización y/o solicitud de la supresión del dato. • Supresión de identidad de los Titulares. • Soportes y constancias de la eliminación de los datos personales. • Gestión de incidentes documentada. Qué pasos seguir? • • • • • Inventario: identifique sus bases de datos Cuáles son Información que contienen Manejan o no datos sensibles Elabore e implemente su política de tratamiento y aviso de privacidad Elabore e implemente su manual de procedimientos: Recolección Mantenimiento y uso Supresión o disposición Consultas o accesos no autorizados Asigne un responsable del manejo de la información Adopte medidas de seguridad adecuadas evitando: Adulteración de información Pérdida de información Consultas o accesos no autorizados 15 En relación con el manejo de la información • Diseñe protocolos de recolección, almacenamiento, uso y circulación de la información • Inscriba sus bases de Datos en el Registro Nacional 16 ACCOUNTABILITY (RESPONSABILIDAD DEMOSTRADA) (Art. 26): Los responsables deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con sus deberes legales, de manera que sea proporcional con: • La naturaleza jurídica del responsable y su tamaño empresarial. • La naturaleza de los datos personales objeto del tratamiento. • El tipo de tratamiento. • Los riesgos potenciales que puede causar el tratamiento. En caso de ser requeridos, las organizaciones deben describir los procedimientos usados para la recolección de los datos, las finalidades de uso y la relevancia de los datos para ese tratamiento POLÍTICAS INTERNAS EFECTIVAS (DECRETO 1377 DE 2013) Las políticas implementadas por los responsables deben garantizar: • La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581. • La adopción de mecanismos internos para poner en prácticas estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación. • La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos. La verificación por parte de la SIC de la existencia de medidas y políticas específicas para el manejo adecuado de datos personales que administra un responsable será tenida en cuenta al momento de evaluar la imposición de sanciones Para consultas o solicitudes pueden dirigirse a: [email protected] 19 Gracias 20