CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES
Mar17

CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES

Estimados Los invitamos a que se suscriban al Canal de YouTube de Escuela de Privacidad, y acceda a todos los videos disponibles, relativos a la Protección de Datos Personales. Puedes ingresar a: https://www.youtube.com/channel/UCJ_tBlLVuKf95ZVfujunF6A?view_as=subscriber y dar clic en suscribirse Muchas...

Read More
Diferencias entre transmisión y transferencia de datos personales
Ene14

Diferencias entre transmisión y transferencia de datos personales

En Colombia, la entrega de bases de datos personales a terceros se encuentra regulado por dos figuras, la transferencia de datos personales y la transmisión de datos personales. Dependiendo del tipo de actividad, finalidad, características de las partes, entre otros aspectos, determinará el tipo de figura que estamos haciendo referencia. En el siguiente gráfico, se plasma de manera sencilla, las características de las figuras de transmisión y transferencia:   A continuación, presentamos un esquema de las principales características y sus diferencias CARACTERÍSTICA TRANSMISIÓN TRANSFERENCIA Tratamiento de datos ·El responsable determina cuál será el tratamiento de los datos personales por parte del encargado ·El responsable receptor determina el tratamiento que le dará a los datos personales que le ha entregado el responsable emisor. Formalidad ·Las partes deben celebrar contrato de transmisión de datos personales ·Las partes deben celebrar contrato de transferencia de datos personales· Autorización ·Si el titular ha dado la autorización para la transmisión de datos personales, no es necesario el contrato de transmisión.·Se presume que el responsable debe obtener la autorización del titular, a no ser que el encargado en virtud del contrato celebrado, tenga como objeto recolectar la autorización. ·Está prohibida a países que no proporcionen niveles adecuados de protección de datos, a no ser que el titular haya dado su autorización expresa Restricciones ·La ley no establece restricción alguna, no obstante, se debe tener en cuenta que para que opere se deben dar los supuestos anteriormente descritos. ·No se puede realizar la transferencia sino se enmarca dentro en las causales de excepción, sino se encuentra en la lista de países seguros, caso en el cual, deberá solicitar la declaración de conformidad aten la SIC. No obstante, la SIC deja abierta la posibilidad de presumir que tiene declaración de conformidad dicha transferencia, en caso de que las partes hayan celebrado contrato donde establezcan las condiciones del...

Read More
La autorización de datos sensibles no se puede dar mediante conductas inequívocas
Ene14

La autorización de datos sensibles no se puede dar mediante conductas inequívocas

La Superintendencia de Industria y Comercio, a través del Concepto 17-364624 manifestó que dada la naturaleza de los datos personales sensibles, la autorización para el tratamiento de los mismos, debe ser de manera explícita, y por lo tanto, no se entiende probada la autorización mediante conductas inequivocas, al respecto, manifiesta: “No obstante lo anterior y en aras de dar solución a su interrogante, para el caso donde se lleve a cabo algún tratamiento de datos sensibles, la autorización debe ser explícita, es decir, admite únicamente el otorgamiento del consentimiento de forma escrita u oral y en consecuencia, no es factible la obtención de la referida autorización mediante conductas inequívocas”. Es decir, si una persona voluntariamente ingresó sus datos personales sensibles a un formulario, ese hecho, no constituye prueba alguna para determinar que la persona otorgó la autorización para el tratamiento de sus datos personales. La Superintendencia, también recuerda el principio de necesidad, es decir,  los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. Por último, la Superintendencia reitera la calidad de Responsable de la información que adquieren las redes sociales, y que por tanto, deben cumplir con el Régimen colombiano de Protección de Datos Personales. Comentarios La Superintendencia de industria y comercio recuerda a través de este concepto, lo consagrado en el literal a) del artículo 6 de la Ley 1581 de 2012, por regla general está prohibido el tratamiento de datos sensibles, salvo que el titular haya dado su autorización explícita a dicho tratamiento, o no ser que por ley, no sea necesario otorgar dicha autorización. Por otro lado, la Superintendencia acude al principio de necesidad, para explicar la duración del dato personal en cabeza del responsable. En este sentido, es importante recordar la relevancia de otros principios que han sido desarrollados por la jurisprudencia y que no se encuentran enunciados en la ley 1581 de 2012, como es el principio de necesidad, pero que también encontramos el principio de caducidad, principio de individualidad, principio de la incorporación, principio de integridad en el manejo de los datos, principio de utilidad, de allí la importancia de analizar la ley, a la luz de la jurisprudencia de la Corte Constitucional sobre estos temas, y en el especial, a través de la sentencia de constitucionalidad C-748 de 2011. Finalmente, la Superintendencia de Industria y Comercio, reitera nuevamente que las plataformas de redes sociales, deben cumplir con la ley 1581 de...

Read More
Nuevo Blog: Heidy Balanta
Dic30

Nuevo Blog: Heidy Balanta

Estimados, tengo el gusto de compartir con ustedes, el nuevo Blog de mi autoría, donde debatiremos temas relativos a la Protección de Datos Personales, espero puedan compartir nuestras publicaciones Muchas Gracias! www.heidybalanta.com 

Read More
Taller Práctico de Registro de Bases de Datos ante la SIC
Nov04
Read More
La figura del Oficial de Protección de Datos Personales en el contexto Colombiano
Oct21

La figura del Oficial de Protección de Datos Personales en el contexto Colombiano

La legislación colombiana en protección de datos personales no menciona expresamente la figura del Oficial de Protección de datos personales, sin embargo, tácitamente se ha entendido así, debido a las características que la misma ley ha asignado y por el derecho comparado que así cataloga a dicho rol, responsable de hacer cumplir con el programa de protección de datos personales al interior de la Organización. NORMATIVA Existen dos artículos del Decreto 1377 de 2013, donde mencionan las características del Oficial de Protección de Datos Personales. Artículo 23, Decreto 1377 de 2013. “Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”  Artículo 27, Decreto 1377 de 2013. Políticas internas efectivas. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar: 1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto. Conforme a lo anterior, el Decreto establece que puede ser una “persona” o “área” quien puede cumplir o hacer las veces de oficial de protección de datos personales. También, dicho decreto menciona la necesidad de la existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción de las políticas sobre el tratamiento de datos personales, se debe advertir acá, que lo pretendido por el legislador es adecuar la ley a un componente presupuestal y administrativo de la organización, esto significa qué, probablemente una organización con un tamaño pequeño no tendrá presupuesto para contratar a una persona encargada de ser oficial de protección de datos personales, pero si puede asignar a una de sus áreas o de los roles que tiene, funciones relativas al rol de Oficial de Protección de Datos Personales. Sin embargo, una organización grande, o que maneje información altamente sensible, o un número ingente de datos personales, aunado con el daño que podría ocasionar la exposición de dichos a sus titulares, irremediablemente se debe sugerir un área o una persona dedicada exclusivamente a cumplir con las funciones de Oficial de Protección de Datos Personales. DOCTRINA Ahora, la Superintendencia de Industria y Comercio, si ha reconocida de forma doctrinaria la figura del Oficial de Protección de...

Read More