¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?
May02

¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?

Mucho se ha especulado sobre el nuevo reglamento general de protección de datos personales europeo, en adelante GDPR (siglas en inglés), en especial, sobre las nuevas obligaciones a las empresas establecidas o no, en la Unión Europea, así como derechos y facultades de los titulares de los datos, pero también, por la extraterritorialidad de la norma. El nuevo reglamento entró en vigor el 25 de mayo de 2016, sin embargo, empieza a ser de obligatorio cumplimiento para las organizaciones a partir del 25 de mayo de 2018, de allí, que el nerviosismo se haya apoderado en muchas organizaciones, que aún no están preparadas para esta nueva normativa. Entre tanto, una de las novedades que trae consigo este reglamento, es la aplicación extraterritorial de la norma, al respecto, el numeral 2, del artículo 3 del GDPR establece: ” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …) Aplicación del GDPR a Empresas Colombianas Conforme a lo anterior, este reglamento le puede aplicar a una empresa colombiana, así no tenga establecimiento de comercio en la Unión Europea, si: Ofrece bienes y servicios en la Unión Europea. (ej.: página web que ofrece bienes y servicios a ciudadanos europeos) Realiza actividades de tratamiento de datos personales, relacionadas con el control del comportamiento de ciudadanos de la Unión Europea. (ej.: rastreo de cookies, ip)  Uno de los mensajes claves de este nuevo reglamento es que no importa la ubicación de la empresa, si esta empresa, realiza el tratamiento de datos personales de ciudadanos de la Unión Europea, aplica dicho reglamento.  Por ejemplo, si una empresa colombiana tiene una tienda online, que despacha pedidos para Europa, o una página web que brinda cursos virtuales pagos o gratuitos y ciudadanos europeos acceden a dichos servicios. ¿Qué implicaciones tiene, cumplir el GDPR en las empresas colombianas? Adopción del GDPR Este reglamento establece una serie de obligaciones a las empresas en materia de protección de datos personales, que van mucho más allá de las obligaciones impuestas en la legislación colombiana, por ejemplo, las organizaciones deben realizar de manera obligatoria, evaluaciones de impacto cuando el tratamiento representa un riesgo alto para el derecho de las personas. Pero a su vez, establece nuevos derechos para los titulares de los datos, los cuales se traducen...

Read More
CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES
Mar17

CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES

Estimados Los invitamos a que se suscriban al Canal de YouTube de Escuela de Privacidad, y acceda a todos los videos disponibles, relativos a la Protección de Datos Personales. Puedes ingresar a: https://www.youtube.com/channel/UCJ_tBlLVuKf95ZVfujunF6A?view_as=subscriber y dar clic en suscribirse Muchas...

Read More
Nuevo Blog: Heidy Balanta
Dic30

Nuevo Blog: Heidy Balanta

Estimados, tengo el gusto de compartir con ustedes, el nuevo Blog de mi autoría, donde debatiremos temas relativos a la Protección de Datos Personales, espero puedan compartir nuestras publicaciones Muchas Gracias! www.heidybalanta.com 

Read More
Programa Integral de Gestión de Datos Personales
Sep10

Programa Integral de Gestión de Datos Personales

La implementación de un Programa de Protección de Datos Personales en Colombia, se puede dar por dos vías. Por un lado, un estándar “mínimo” (que no es tan mínimo) que lo da la Ley 1581 de 2012 y el Decreto 1377 de 2103, establece las obligaciones que las empresas deben tener para la efectiva protección de los datos personales. Por otro lado, hay un estándar mucho más exigente,  conocido como Responsabilidad Demostrada, y es la posibilidad de demostrarle al Regulador (en este caso la Superintendencia), que la Organización tiene un sistema de gestión efectivo en el tratamiento de datos personales.  La Superintendencia, publico hace más de un año una guía básica para la implementación del principio de la responsabilidad demostrada, que en su momento tuvimos la oportunidad de referenciar: http://derechoinformatico.co/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada-accountability/  Hice el ejercicio de consolidar un excel todos los puntos que exige la Guía, que en mi parecer, y por la experiencia que tengo implementando estos programas en las empresas, los puntos están completos, no obstante, no es el orden lógico que se sigue, pero finalmente, ese no es el objetivo de la guía, pues no plantea una metodología, simplemente sugieren los puntos que se deben tener en cuenta al momento de implementar un programa integral de protección de datos personales. Espero les sirva. PROGRAMA INTEGRAL DE PROTECCIÓN DE DATOS PERSONALES by Datos Personales on...

Read More
Conozca las sanciones de la SIC por violación de datos personales
May31

Conozca las sanciones de la SIC por violación de datos personales

Este post, se estará actualizando periodicamente, en la medida que conozcamos las resoluciones de sanción o las que impartan ordenes a organizaciones sobre la gestión de bases de datos de terceros.   Resolución 101695 de 2015, se sanciona a la empresa GESCOM S.A por $32.217.500 por no contestar un correo electrónico donde se solicitaba información sobre la finalidad de los datos de un ciudadano, y por no tener una autorización del consentimiento que cumpliera con todos los requisitos exigidos por la Ley Descargar Resolucion 8483 de 2015, donde se impone una sanción a la Compañía Nacional de Chocolates S.A.S por $96.652.500 por no conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento Descargar Resolución 27650 de 2015. Se sanciona a la empresa Colombia Telecomunicaciones S.A E.S.P por $6443.500 por no haber tratado la información personal de un ciudadano sin la autorización previa, expresa e informada con relación a los efectos de dicho consentimiento y por no conservar la información personal del ciudadano bajo las condiciones de seguridad necesarias Descargar Resolución 28628 de 2014. Sancionan al Fondo de pensiones y cesantias Protección S.A por $21.560.000 por dar tramite a las consultas y reclamos relacionados con el tratamiento de los datos personales, y por no informar a solicitud del titular, sobre el uso dado a sus datos. Descargar Resolución 36863 de 2014. Sancionan a Almacenes Éxito, por un valor de $36.960.608 de pesos por no garantizar al titular,  en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; tambien, por no tramitar  las consultas y reclamos formulados en los términos señalados en la presente ley. Descargar  Resolución 36901 de 2014, sancionan al centro comercial Cosmocentro por $30.800.000 por violar datos personales de menores de edad, por no solicitar y conservar en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; y no conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; Descargar Resolución 42412 de 2014, se dispone el bloqueo del sitio web datajuridia.com Descargar Resolución 58969 de 2014, sanción a la sociedad RedCord de Colombia S.A Banco Nacional de células Madres, por $123.200.000 por no solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; y por no informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada Descargar Resolución 54559 de 2014  se impone una sanción por $18.480.000 a José Francisco García Calume por no solicitar en las condiciones previstas en...

Read More
Guía para la Implementación del Principio de Responsabilidad Demostrada – Accountability
May28

Guía para la Implementación del Principio de Responsabilidad Demostrada – Accountability

En el marco del Tercer Congreso Internacional de Protección de Datos personales, celebrado el día de hoy y mañana (Mayo, 28 y 29) la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio, lanzó la Guía para la Implementación del Principio de Responsabilidad Demostrada  Esta Guia, contiene diez puntos esenciales que responden a la pregunta ¿Que debe hacer una empresa para implementar un programa integral de gestión de datos personales? La SIC lo ha resumido en diez puntos a saber: 1. Compromiso de la alta gerencia y asignación de responsabilidades 2. Presentación de informes 3. Procedimientos operacionales 4. Inventario de las bases de datos 5. Políticas efectivas 6. Sistema de Administración de riesgos asociados al tratamiento de datos personales 7. Requisitos de formación y educación 8. Protocolos de respuesta en el manejo de violaciones e incidentes 9.Gestión de los encargados del tratamiento en las transferencias o transmiones internacionales de datos personales 10. Comunicación externa Para acceder a la guia completa y descargarla, en el siguiente enlace: http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf Para leerla en...

Read More