¿Cuáles son las principales sanciones en materia de protección de datos personales? – Parte I
Oct11

¿Cuáles son las principales sanciones en materia de protección de datos personales? – Parte I

Comparto con ustedes, artículo de opinión que escribí para la Corporación Colombia Digital.   El próximo 17 de octubre cumple cuatro años de expedida la ley 1581 de 2012, conocida como ley de habeas data o ley de protección de datos personales. Si bien ha pasado un tiempo importante, es increíble que siguen existiendo demasiados casos donde las empresas ni siquiera tienen una política de tratamiento de datos personales, o en el peor de los casos, tienen una política copiada, tal cual, de otra empresa. Sin embargo, si revisamos las sanciones que la Superintendencia de Industria y Comercio (SIC) ha impuesto por incumplimiento del régimen de protección de datos personales, tendremos luces sobre en qué están fallando las empresas para cumplir con la ley. En este artículo vamos a analizar los dos mayores motivos de sanción: Primer motivo de sanción a las empresas: No solicitar o conservar copia de la autorización para el tratamiento de datos personales El 47% de las empresas sancionadas por la SIC por violación de la ley de protección de datos personales, lo han sido por no solicitar ni conservar copia de la autorización para el tratamiento de datos personales. Las empresas aún no han entendido la premisa básica de la ley: por cada registro con información personal se debe tener la autorización para el tratamiento de esos datos personales. Ese es el núcleo, la espina dorsal, el corazón de la ley. Las empresas deben tener claro que todo instrumento que utilicen para la captura de datos personales debe tener la autorización para el tratamiento de esos datos, ya sea, desde un formulario de contacto en su página web, hasta en los formatos de creación o actualización de proveedores, incluso con sus empleados, actualizando los contratos, o incorporando otro si, donde solicite la autorización para el tratamiento de la autorización. “Es increíble que existan empresas que no tienen una política de tratamiento de datos, o tienen una copiada de otra empresa” Si el día de mañana la SIC hace una inspección a su empresa y le solicita la prueba de autorización del tratamiento de datos de ‘Pepa Pérez’, ¿está usted en capacidad de mostrar esa autorización? Si la respuesta es no, es fundamental que inicie por esto. El medio no importa, siempre y cuando se pueda consultar de manera posterior y cuente con todos los requisitos de ley. Es decir, puede ser por correo electrónico, telefónicamente, físico, video, etc., lo importante es que se pueda consultar posteriormente para verificar que en efecto se ha dado el consentimiento. Para terminar con este aspecto, es importante que la empresa tenga en cuenta los requisitos que debe tener...

Read More
– NOTICIA IMPORTANTE- Proyecto de Circular sobre Registro de Bases de Datos en Colombia
Sep15

– NOTICIA IMPORTANTE- Proyecto de Circular sobre Registro de Bases de Datos en Colombia

Hasta el día de hoy, 15 de Septiembre de 2016, esta disponible para comentarios el Proyecto de Circular Externa, el cual, modifica el Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio relativo a la segunda fase de implementación del Registro Nacional de Bases de Datos Importante: Esta circular va dirigida a Personas Naturales, Entidades de Naturaleza Pública distintas de las sociedad de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las Cámaras de Comercio Las fechas que establece la Superintendencia van desde el 15 de Noviembre de 2016 al hasta el 14 de Noviembre de 2017 Así mismo, la circular establece otros aspectos relativos a la Actualización de la información contenida en el Registro Nacional de Bases de Datos – RNBD. A partir de esta reglamentación, LAS ENTIDADES PÚBLICAS, deben registrar sus bases de datos. !Esto si que va hacer un reto! todos los que hemos tenido oportunidad de trabajar con el sector público, sabemos la complejidad del manejo de la información. A continuación el Proyecto de circular   CE Implementacion RNBD Fase 2 by Datos Personales on Scribd Fuente...

Read More
Programa Integral de Gestión de Datos Personales
Sep10

Programa Integral de Gestión de Datos Personales

La implementación de un Programa de Protección de Datos Personales en Colombia, se puede dar por dos vías. Por un lado, un estándar “mínimo” (que no es tan mínimo) que lo da la Ley 1581 de 2012 y el Decreto 1377 de 2103, establece las obligaciones que las empresas deben tener para la efectiva protección de los datos personales. Por otro lado, hay un estándar mucho más exigente,  conocido como Responsabilidad Demostrada, y es la posibilidad de demostrarle al Regulador (en este caso la Superintendencia), que la Organización tiene un sistema de gestión efectivo en el tratamiento de datos personales.  La Superintendencia, publico hace más de un año una guía básica para la implementación del principio de la responsabilidad demostrada, que en su momento tuvimos la oportunidad de referenciar: http://derechoinformatico.co/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada-accountability/  Hice el ejercicio de consolidar un excel todos los puntos que exige la Guía, que en mi parecer, y por la experiencia que tengo implementando estos programas en las empresas, los puntos están completos, no obstante, no es el orden lógico que se sigue, pero finalmente, ese no es el objetivo de la guía, pues no plantea una metodología, simplemente sugieren los puntos que se deben tener en cuenta al momento de implementar un programa integral de protección de datos personales. Espero les sirva. PROGRAMA INTEGRAL DE PROTECCIÓN DE DATOS PERSONALES by Datos Personales on...

Read More
Proyecto de Ley: Creación de una Base de Datos para Pedófilos
Ago22

Proyecto de Ley: Creación de una Base de Datos para Pedófilos

Mediante el Proyecto de Ley (Cámara de Representantes, Proyecto de ley 041/16C – 8/2/2016) se pretende crear una Base de datos construida con número de identificación, registro biométrico y nombre de pedófilos condenados con sentencia ejecutoriada, con el objetivo de proteger a menores de 14 años. Esta base de datos podría ser consultada por instituciones que tengan a cargo menores  de edad, como instituciones educativas, religiosas, centros culturales, entre otros, el acceso será restringido y controlado. Así mismo, este proyecto menciona de quienes  se pueda predicar posición de garante en el trato o custodia de menores de 14 años de edad, se les exigirá certificado psicológico negativo al perfil pedófilo. Así como a sus dependientes, empleados o encargados. La medida también se aplica a los miembros de iglesias o cultos religiosos registrados para operar legalmente en Colombia. Este tipo de registros ya se encuentra habilitado en otros países como Chile, Argentina, México y Estados Unidos   PROYECTO DE LEY: http://www.legisaldia.com/BancoMedios/Archivos/pl-041-16c-base-de-datos-pedofilos.pdf     ...

Read More
III Curso Internacional BIG DATA
Jul26

III Curso Internacional BIG DATA

Los invito a participar en el Tercer Curso Internacional BIG DATA: Tecnología e innovación, aspectos legales  constitucionales, el cual se realizará el próximo 27 y 28 de Septiembre en la Universidad Autónoma Latinoamericana de la Ciudad de Medellín, la cual, por tercer año consecutivo realiza este tipo de cursos internacionales, tomando un importante liderazgo en temas de Derecho Informático en Colombia. Las inscripciones están abiertas, pueden acceder a través del siguiente enlace: Inscripción Para mayor información visite: Página evento Por nuestra parte, estaremos participando el primer día, con la charla: Retos de la Legislación colombiana en Protección de Datos, frente al Big Data” Súper Recomendado este evento, pues contará con Abogados Informáticos de España, México, Argentina, Venezuela. Lista de invitados Nacionales e Internacionales  Guillermo Zamora (ARGENTINA) Marcelo Lozano (ARGENTINA) Jorge Campanillas (ESPAÑA) Diego Buitrago (COLOMBIA) Manuel Humberto Santander (COLOMBIA) Ana María Mesa  (COLOMBIA) Heidy Balanta  (COLOMBIA) Joel Gómez Triviño (MÉXICO) Ana Brian Nogueres  (URUGUAY) José Leonett (GUATEMALA) Hildamar Fernández (VENEZUELA) Página Oficial del...

Read More
El contrato de transmisión de datos personales en Colombia
Jun01

El contrato de transmisión de datos personales en Colombia

Es una práctica muy común en las organizaciones compartir sus bases de datos de clientes con aliados estratégicos, con empresas las cuales han contratado para tercerizar sus servicios  y en general para actividades que por alguna u otra razón se las encomienda a un tercero para su desarrollo. En estos casos, la empresa al ser la fuente de la información, es el responsable del tratamiento de datos personales, y el tercero a quien se transmite esa información, se convierte en Encargado de la información, ambos tienen responsabilidades en dicho tratamiento. A la luz del Decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 relativa a la protección de datos personales, esta transmisión de datos personales, debe estar precedida por un contrato de transmisión, el cual establezca los términos y condiciones bajo la cual operará dicha transmisión.  Según el  artículo 25 del Decreto 1377 de 2013,  este contrato debe contener: Alcance del tratamiento: es decir, la finalidad para la cual se transmitió la información personal Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales Las obligaciones del encargado para con el titular y el responsable. Establecer las obligaciones del encargado relativo a: Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales. Guardar confidencialidad respecto del tratamiento de los datos personales. Así mismo, la norma establece que por medio de dicho contrato el encargado se compromete a dar aplicación a las obligaciones de la política de Tratamiento de la información que el responsable generó y dar tratamiento de los datos personales de acuerdo con la finalidad que los titulares hayan autorizado. En cuanto a la autorización previa del titular para la transmisión de esos datos al encargado, ni el decreto ni la ley dicen nada al respecto, guardando silencio sobre el mismo, no obstante, teniendo en cuenta que la espina dorsal del régimen de protección de datos personales es el consentimiento del titular del dato, lo más acertado es que el responsable de la información cuente con dicha autorización para realizar la respectiva transmisión de la información, si se revisa el artículo 26 de la Ley 1581 de 2012, para el caso de transferencia (no transmisión) de datos personales a terceros países, que por regla general están prohibidos, estableciendo excepciones, es decir, los casos en que si se encuentran permitidos, esto es, que el Titular haya otorgado su autorización expresa e inequívoca para la transferencia; y 2) cuando la transferencia sea necesaria para la ejecución de un contrato entre el...

Read More