Our Blog

Flash Legal No. 1 – Julio 2017

POLÍTICA DE PRIVACIDAD DE DATOS

En el presente Flash Informativo de actualidad jurídica, hablaremos sobre el tratamiento de datos personales y el registro Nacional en la base de datos de acuerdo al Concepto No. 85657 del 15 de mayo de 2017 con Radicación 17-85657-1 proferido por la Superintendencia de Industria y Comercio.

La Superintendencia de Industria y Comercio (“SIC”) resuelve la inquietud presentada por el Ministerio de Tecnologías de la Información, sobre el procedimiento para elaborar el documento referente a la política de privacidad de datos de los clientes y si el mismo se debe presentar a alguna entidad.

Una vez realizadas las anteriores precisiones, al entrar a determinar las facultades de la SIC en materia de protección de datos personales descritas en el artículo 21 de la Ley 1581 de 2012, las cuales fueron mencionadas en nuestro anterior flash informativo y respecto a las políticas de tratamiento de datos menciona el artículo 17 de la Ley 1581 de 2012 que describe los deberes de los Responsables del Tratamiento dentro de los cuales está el Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

En concordancia con lo anterior se encuentra lo dispuesto en el artículo 2.2.2.25.3.1 del Decreto 1074 de 2015  que incorpora el Decreto 1377 de 2013 indicando:

 “Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas”.

Así las cosas los manuales internos de políticas y procedimientos de tratamiento de la información  deben constar en medio físico o electrónico, en lenguaje claro y sencillo y ser puestas en conocimiento de sus titulares con al menos lo siguiente:

” 1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

3. Derechos que le asisten como Titular.

4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos”.

Adicionalmente a la información relacionada, deberá comprender  la finalidad y clase de tratamiento al que serán los datos personales, por lo que es importante resaltar el principio de finalidad consagrado en el literal b) del artículo 4 de la Ley 1581 de 2012 donde lo define así:

b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular”.

 Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

 “Principio de finalidad: En virtud de tal principio, el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

En consecuencia la finalidad debe ser legítima y la información solo será utilizada para los fines exclusivos para los cuales se entregó y de carácter temporal, es decir que el periodo de conservación de los datos no debe exceder del necesario, en caso que se quiera utilizar con otros fines se deberá autorizar de forma expresa por el titular, permitiendo así un mayor control por parte de este último.

Adicionalmente, es importante aclarar que se encuentra prohibido el registro y divulgación de datos que no guarde relación con el objetivo de la base de datos, siendo esto así será el titular el único quien podrá decidir sobre la base de datos o el tratamiento de los datos.

Ahora, respecto al Aviso de Privacidad, el Decreto 1074 de 2015 que incorpora el decreto 1377 de 2003, define los avisos de privacidad  como aquel comunicado verbal o escrito dirigido al titular donde se deberá informar sobre el tratamiento que se dará a los datos personales, es decir en caso de no ser posible informar al titular sobre las políticas de tratamiento de la información se utilizara el aviso de privacidad en el cual deberá constar como mínimo:

 

1. Nombre o razón social y datos de contacto del Responsable del Tratamiento.

2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

3. Los derechos que le asisten al Titular.

4. Los mecanismos dispuestos por el Responsable para que el Titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

No obstante lo anterior, cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los Titulares la política de Tratamiento de la información, de conformidad con lo establecido en este Decreto”.

Así las cosas, se deberá conservar el modelo del aviso de privacidad que utilicen para cumplir con el deber de dar a conocer las políticas de tratamiento de la información y la finalidad que se pretende con los datos personales, dicho formato debe ser accesible para su posterior consulta y puesto a disposición en los términos señalados por el artículo 2.2.2.25.3.4 del Decreto 1074 de 2015, el cual puede ser difundido a través de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología

Finalmente la SIC, aborda lo referente al Registro Nacional de Base de Datos y hace mención a la definición que trae el artículo 25 de la Ley 1581 de 2012 señala lo siguiente:

“Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país

El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente Ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento.”

Tal como en los conceptos anteriores el trascrito artículo fue reglamentado por el  Decreto 1074 de 2015 el cual en su artículo 2.2.2.26.1.2, determina que las bases de datos deben estar inscritas en el Registro Nacional de Bases de Datos

Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Lo anterior sin perjuicio de las excepciones previstas en el artículo 2 de la Ley 1581 de 2012.”

Según el Decreto 1074 de 2015, articulo 2.2.2.26.1.3, el Responsable del Tratamiento debe realizar el registro correspondiente, en el Registro Nacional de Bases de Datos por lo que será él la persona que decida sobre las finalidades del tratamiento y los medios empleados para ponerlo en circulación, usarlo y permitir su acceso.

Por otra parte se establece que la información mínima contenida en el registro Nacional de Base de Datos es:

1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos;

2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos;

3. Canales para que los titulares ejerzan sus derechos;

4. Nombre y finalidad de la base de datos;

5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y

6. Política de Tratamiento de la información.”

En concordancia con lo anterior, en los numerales 2.1. y 2.5., del Capítulo Segundo del Título V de la Circular Única de la SIC, que trata sobre las instrucciones del Registro Nacional de Bases de Datos, indica que la información de que trata el artículo 2.2.2.26.2.1. Del Decreto 1074 de 2015, se debe inscribir en los siguientes términos:

– Información almacenada en la base de datos.

– Medidas de seguridad de la información.

– Procedencia de los datos personales

– Transferencia internacional de datos personales

– Transmisión internacional de datos personales.

– Cesión o transferencia nacional de la base de datos.

– Reporte de novedades:

      – Reclamos presentados por los Titulares.

      – Incidentes de seguridad.

Así mismo, señala el procedimiento para realizar el Registro Nacional de Bases de Datos, el cual se realizará en línea y deberá hacerse de acuerdo a las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos – RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio.

Ahora bien,  existen unos plazos para la inscripción de las bases de datos en el RNBD para las personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y las sociedades de economía mixta deben realizar el registro de sus bases de datos ante la SIC hasta el 30 de junio de 2017, so pena de verse expuestos a la imposición de sanciones por parte de la SIC, que pueden llegar hasta los dos mil (2000) salarios mínimos legales mensuales vigentes, de conformidad con la Ley 1581 de 2012 y sus disposiciones reglamentarias.

Por otra parte, Se debe tener en cuenta que las personas naturales, las entidades públicas, diferentes a las sociedades de economía mixta y las personas jurídicas de naturaleza privada que no están inscritas en las Cámaras de Comercio, deben cumplir con la obligación de registrar sus bases de datos hasta el 30 de junio de 2018. (Cabe hacer mención que esto fue modificado por el Decreto 1115 de 2017)

Así las cosas, toda persona que actualmente realice tratamiento de datos personales en Colombia, está obligada a contar con un sistema con políticas claras y con el andamiaje necesario para cumplir con las disposiciones vigentes y hacer efectivos los derechos de los titulares de la información de acuerdo a las condiciones previamente mencionadas.


CUALQUIER INQUIETUD GUSTOSOS LA ATENDEREMOS.

 La información contenida en el presente Flash es de carácter estrictamente informativo. Por lo tanto, para la toma de decisiones particulares sobre los temas que se comentan, se deberá contar con el auxilio del asesor experto en el tema pertinente.

SOMOS MIEMBROS DE GGI

www.ggi.com

No olvide seguirnos en redes sociales.

   

www.tower-consulting.com

GGI Independent Member

Tags:

This is a unique website which will require a more modern browser to work! Please upgrade today!