San Andrs Octubre 17 Rgimen de Proteccin de

San Andrés Octubre 17 Régimen de Protección de Datos Personales “Quinto Encuentro Nacional de Atención e Interacción con el Ciudadano”.

1 Tabla de Contenido 1. Aspectos Generales Régimen de Protección de datos personales ü Permanencia de la información ü Antecedentes 3. Ley 1581 de 2012 2. Ley 1266 de 2008 ü Objeto ü Antecedentes ü Datos protegidos ü Regulación sectorial ü Principios ü Definiciones deberes y derechos ü Autorización ü Procedimientos

2 Tabla de Contenido ü Datos sensibles ü Datos de niños, niñas y adolecentes ü Políticas de Tratamiento de la Información ü Procedimientos

3 1. Aspectos Generales Protección de datos personales

ANTECEDENTES Los artículos 15 y 20 de la Constitución Política que establecen los derechos a la intimidad y la información contemplan el derecho que tiene toda persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. El contenido y alcance de este derecho ha sido profusamente desarrollado por la jurisprudencia de la Corte Constitucional, en especial, a partir del análisis de fallos de tutela relativos a controversias sobre la administración de datos personales de carácter financiero, recopilados por centrales de información y destinadas al cálculo del nivel de riesgo crediticio. 4

ANTECEDENTES ü Si bien existe un grupo considerable de fallos que se han dedicado, en especial, al análisis del derecho fundamental al hábeas data, específicamente dirigidos a la resolución de conflictos generados por la administración de datos personales de contenido financiero y crediticio ü La recopilación y sistematización de la jurisprudencia vigente sobre la materia, el mayor grado de precisión conceptual sobre los diferentes aspectos de regulación del derecho fue realizado por la Corte Constitucional en la sentencia T-729/02. 5

ANTECEDENTES Esta decisión se ocupó de la revisión de un fallo de tutela de un ciudadano que consideraba violado su derecho a la intimidad, en razón a que el Departamento Administrativo de Catastro Distrital y la Superintendencia Nacional de Salud publicaban en sus páginas Web su información personal, a la cual podía accederse por cualquier persona. Sentencia T-729 de 2012 La Corte concluyó que la manera como se recoge y administran los datos violaba los principios de administración de los datos personales, en especial los de libertad, finalidad e individualidad. Concedió el amparo y ordenó a las entidades s que eliminaran cualquier posibilidad de acceso indiscriminado a la información personal del actor. 6

ANTECEDENTES HABEAS DATA: DERECHO AUTONOMO Es definido por la jurisprudencia constitucional como aquel que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales 7

Aplicación directa de la Constitución: Vacío legal Inexistencia de procedimientos legales y plazos para la resolución de controversias. Ausencia de vigilancia y control para los operadores. . Indefinición término de caducidad: 8

9 2. Ley 1266 de 2008 Información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios

Los antecedentes de la expedición de la Ley 1266 de 2012 ü Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. ” ü El texto del proyecto, junto con su exposición de motivos, fue publicado en la Gaceta del Congreso 246 del 25 de julio de 2006 ü El Proyecto de Ley en mención fue remitido a la Corte por la Presidente del Senado de la República, a través de comunicación radicada en la Secretaría General de esa corporación el 4 de julio de 2007. ü Revisión Previa de Constitucionalidad. Declarado Exequible mediante Sentencia C-1011 del 16 de octubre de 2008 10

Ley 1266 de 2008: Regulación Sectorial Tal como lo precisó la Corte Constitucional mediante sentencia C-1011 de 2008: “(…) el ámbito de protección del derecho fundamental al hábeas data previsto en el Proyecto de Ley, se restringe a la administración de datos de índole comercial o financiera, destinada al cálculo del riesgo crediticio. 11

Algunos aspectos de la Ley 1266 de 2008 ¡ Regla inderogable de la autorización ¡ Aviso previo de veinte (20) días para el reporte de información ¡ Opciones para el control de la información ¡ Régimen sancionatorio 12

Ley 1266 de 2008 Catálogo de definiciones Titular de la información Fuente de información. Operador Usuario. 13

Derechos del titular de la información Frente a los operadores -Solicitar prueba de la existencia de la autorización expedida por la fuente o usuario. -Autorización previa y expresa para datos semiprivados y privados, Frente a las fuentes de información: -Solicitar actualización o rectificación de los datos. -Solicitar prueba de la autorización, cuando lo requiera la ley. Frente a los usuarios: -Solicitar información sobre la utilización que el usuario le da a la información, cuando el operador no le informe. -Solicitar prueba de la autorización, cuando lo requiera la ley. 14

Deberes de los usuarios üGuardar reserva y utilizar la información únicamente para los fines que se entregó. üInformar a los titulares, a solicitud, sobre la utilización de la información. üConservar con seguridad la información. üCumplir las instrucciones de la autoridad de control. 15

Deberes de las fuentes de información ü Garantizar que la información sea veraz, completa, exacta, actualizada y comprobable. ü Reportar en forma periódica (mensual) al operador las novedades. ü Rectificar la información. ü Resolver reclamos y peticiones del titular. ü Certificar semestralmente al operador que la información suministrada cuenta con la autorización correspondiente. ü Diseñar e implementar mecanismos eficaces para reporte oportuno de la información. ü Informar al operador la información en discusión. ü Cumplir las instrucciones de la autoridad de control. 16

LEY 1266 DE 2008 -PRINCIPIO DE FAVORECIMIENTO A UNA ACTIVIDAD DE INTERÉS PÚBLICO ü Artículo 10. Los usuarios deben valorar la información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio. No pueden basarse exclusivamente en la información relativa al incumplimiento de obligaciones crediticias. ü Antecedente: Consagración de prohibición en la Circular Externa 004 de 2002 y reglas sobre acceso a servicios financieros previstas en la Circular Externa 023 de 2005. 17

Permanencia de la Información positiva: Término indefinido ? . Ley 1266 de 2008 dato negativo cuatro años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida. Modulado por la sentencia C 1011 de 2008 de la Corte Constitucional. NO podrá exceder del doble de la mora y el término de permanencia de cuatro años se contará a partir del momento en que se extinga la obligación por cualquier modo. 18

Ley 1266 de 2008 Procedimientos Trámite de Consultas: ü Los titulares de la información o sus causahabientes…. toda la información contenida en el registro individual o que esté vinculada con la identificación del titular. ü Petición por cualquier medio. ü Plazo: 10 días hábiles a partir del recibo. Si no es posible se informará al peticionario, señalando los motivos (Máx. 5 días hábiles siguientes al vencimiento del primer plazo). 19

20 Ley 1266 de 2008 -Procedimientos Trámite de Reclamos: Ante el OPERADOR ü Petición indicando los hechos y con soportes, si es posible. Dentro de los 2 días el operador deberá incluir “reclamo en trámite” y se mantendrá hasta que se resuelva. ü Plazo máximo: 15 días hábiles contados desde el recibo. (Máx. 8 días hábiles siguientes al vencimiento del primer plazo).

21 Ley 1266 de 2008 -Procedimientos Trámite de Reclamos: Ante la FUENTE ü Resolverá directamente pero debe informar al operador con el fin de que se incluya la leyenda dentro de los 2 días hábiles siguientes al recibo de la información. ü Si el peticionario no está satisfecho puede acudir a la acción de tutela o a proceso judicial. Si hay controversia judicial se incluye “información en discusión judicial” dentro de los 2 días hábiles siguiente y se mantendrá hasta que el fallo. ü Se aplica el mismo procedimiento si es la fuente la que inicia el proceso sobre la obligación reportada y el titular propone excepciones de mérito.

Autoridades competentes La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de respecto de todo agente En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes 22

23 3. Ley 1581 de 2012 - Decreto 1377 de 2013 Disposiciones generales para la protección de datos personales.

Antecedentes: Ley 1581 de 2012 ü Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales” ü Mediante oficio del 17 de enero de 2011, el Presidente del Senado de la República, remitió a la Corte Constitucional el texto Proyecto de Ley Estatutaria No. 184 de 2010 ü FECHA DE SANCIÓN: 11/10/2012 24

25 Objeto de la Ley 1581 de 2012 Desarrollar el derecho de rango constitucional con el que cuentan todas las personas, a conocer, actualizar y rectificar las informaciones que se hayan obtenido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a las que se refiere el artículo 15 de la Constitución Política. garantizar los derechos fundamentales a la intimidad y a la información, lo cual supone la posibilidad de controlar el uso y la finalidad para la cual se destina la información relativa a los datos personales de cada ciudadano y la facultad de impedir su utilización cuando la información sirva para propósitos no autorizados por su titular

26 Objeto de la Ley 1581 de 2012 Corte Constitucional, sentencia C-748 de 2011: “Ciertamente del derecho al habeas data no se desprenden no solamente facultades de conocer, actualizar y rectificar las actuaciones que se hayan recogido sobre el titular, sino otras como autorizar el tratamiento, incluir nuevos datos o excluirlos o suprimirlos de una base o archivo. ”

Ley 1581 de 2012 -Regulación General Corte Constitucional- Sentencia c- 748 de 2012: “(…) con la introducción de esta reglamentación general y mínima aplicable en mayor o menor medida a todos los datos personales, el legislador ha dado paso a un sistema híbrido de protección en el que confluye una ley de principios generales con otras regulaciones sectoriales (…). ” 27

Cuáles son los datos protegidos por la Ley 1581 e 202 ¡Ley 1581 de 2012 es aplicable de manera general a cualquier sector o entidad que recoja y maneje datos personales. Datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. 28

Cuáles son los datos protegidos por la Ley 1581 de 2012 Estemos en presencia de datos personales La aplicación de las disposiciones de la Ley 1581 de 2012 se produce siempre que Registrados en una base de datos que los haga susceptibles de tratamiento Haya un responsable, público o privado 29

30 Qué se entiende por: Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que realice el Tratamiento por cuenta del Responsable.

31 Qué se entiende por: Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Principios de aplicación de la Ley 1581 de 2012 ¡ Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. ¡ Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. 32

Principios de aplicación de la Ley 1581 de 2012 ¡ Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. ¡ Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 33

Principios de aplicación de la Ley 1581 de 2012 ¡ Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma. 34

Ley 1581 de 2012: Derechos de los titulares ü Conocer, actualizar y rectificar sus datos personales frente a los R o E. ; ü Solicitar prueba de la autorización ü Ser informado por el R o el E respecto del uso que le ha dado a sus datos personales; ü Presentar ante la Superintendencia de Industria y Comercio quejas ü Revocar la autorización y/o solicitar la supresión del dato Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. 35

36 Ley 1581 de 2012: Autorización HABEAS DATA es PODER DE DECISIÓN. . QUIEN y con QUÉ FINALIDAD proporciona sus datos personales, no estando obligada a facilitarlos si no lo desea, salvo que una ley así lo disponga. Así, en virtud de lo establecido en los artículso 9 de la Ley 1581 de 2012 y 5 del Decreto 1377 de 2013, el Tratamiento de REQUIERE la autorización previa, consciente e informada del Titular de la información. Esa autorización debe ser susceptible de ser acreditada en el futuro.

Ley 1581 de 2012: Autorización INEQUÍVOCA-EXPLÍCITACONCRETA sentencia C-748 de 2011 “El consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. ” 37

Modo de obtener la autorización- Art. 7 Decreto 1377 de 2013 A través de de medios técnicos que faciliten al Titular su manifestación automatizada. ü Por escrito, ü De forma oral o ü Mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca. 38

Casos en que no es necesaria la autorización La autorización del Titular no será necesaria cuando se trate de: ü Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; ü Datos de naturaleza pública; ü Casos de urgencia médica o sanitaria; ü Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; ü Datos relacionados con el Registro Civil de las Personas. ü Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la ley. 39

Ley 1581 de 2012: Datos Sensibles El artículo 5 de la Ley 1581 de 2012 establece que son datos sensibles “Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos” 40

Ley 1581 de 2012: Datos Sensibles El artículo 6 de la Ley 1581 de 2012 dispone que: Se prohíbe el Tratamiento de datos sensibles, excepto cuando: ü El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; ü El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. ü El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. ü El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; ü El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares. ” (Resaltado fuera del texto) 41

42 Decreto 1377 de 2013: Datos Sensibles Cuando el tratamiento de estos datos sea posible: Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. Informar al titular de forma explícita y previa, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad. Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

Ley 1581 de 2012: Tratamiento de datos personales de niños, niñas y adolecentes Ley 1581 de 202 - Art. 7 Derechos de los niños, niñas y adolecentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Corte Constitucional C-748 ¨(…) En definitiva, el inciso segundo del artículo objeto de estudio es exequible, si se interpreta que los datos de los niños, las niñas y adolescentes pueden ser objeto de tratamiento siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales e inequívocamente responda a la realización del principio de su interés superior, cuya aplicación específica devendrá del análisis de cada caso en particular. ” 43

Tratamiento de datos personales de niños, niñas y adolecentes Decreto 1377 art 12 El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes requisitos: ü Que responda y respete el interés superior de los niños, niñas y adolescentes. ü Que se asegure el respeto de sus derechos fundamentales. ü El representante legal otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. 44

Decreto 1377 de 2012: Políticas para el tratamiento de la Información Políticas de tratamiento de la información Fortalecer el nivel de confianza entre responsables y titular con relación al tratamiento de su información Informar las titular las finalidades y transferencias a que son sometidos sus datos personales Informar al titular cómo ejercer los derechos que la Ley 1581 de 2012. 45

Decreto 1377 de 2012: Políticas para el tratamiento de la Información ü Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable. ü Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad. ü Derechos que le asisten como Titular. ü Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización ü Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización ü Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos. 46

Ley 1581 de 2012: Trámite de consultas y reclamos- ACTUALIZACIÓN- RECTIFICACIÓN El Titular de los datos personales tendrá, entre otros, los siguientes derechos: Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. 47

Ley 1581 de 2012: Trámite de consultas y reclamos- CONSULTA 1. Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. 2. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a éstos toda la información que esté vinculada con la identificación del Titular. RECLAMO El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento 48

Ley 1581 de 2012: Trámite de consultas y reclamos- CONSULTA RECLAMO La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. . El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. . 49

Autoridad de protección de datos La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la Ley 1581 de 2012. 50

Autoridad de protección de datos La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: ü Multas de carácter personal e institucional hasta por el equivalente de dos mil (2. 000) smlv. ü Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. ü Cierre temporal de las operaciones relacionadas con el Tratamiento de datos sensibles; Estas sanciones indicadas sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva. 51

gvalbuena@vgcd. co Carrera 9 No. 80 -45 Piso 4 / Tel. (571) 4935050 Bogotá D. C. – Colombia