AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES, PROCEDIMIENTOS, SANCIONES Y RNBD
MARCO CONSTITUCIONAL Artículo 15 de la Constitución Política: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” . En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”
Regulación legal en materia de hábeas data (Artículo 15)
D.R. 1727 de 2009
D.R. 2952 de 2010
Decreto 4886 de 2012
LEY 1266 DE 2008
Ley 1581 DE 2012
PETICIONES DE CONSULTA Y RECLAMOS (TITULO PROCEDIMIENTOS (TITULO V, ARTÍCULOS 14, 15 Y VI, ARTÍCULO 16) : 16): Termino para atención de consultas: 10 días hábiles y 5 de prorroga. Término para atención de reclamos 15 días hábiles y 8 de prorroga. Requisito de procedibilidad para presentar quejas de relacionadas con corrección, actualización o eliminación de datos
28/06/2013
Se establecen los mismos procedimientos señalados en el artículo 16 de la Ley 1266 de 2008. (Parágrafo, permite definir términos inferiores en leyes o reglamento atendiendo la naturaleza del dato personal). Se conserva el requisito de procedibilidad para elevar queja ante la SIC.
4
Aspectos Relevantes del Procedimiento Como requisito de procedibilidad se debe acreditar previamente ante la SIC: (i)
(ii)
Que se surtió el trámite del reclamo por los mismos hechos ante el operador o la fuente, y Que el trámite de reclamo no fue atendido o fue atendido desfavorablemente.
5
Autoridades de protección de datos personales LEY 1266 DE 2008
LEY 1581 DE 2012
VIGILANCIA DE LOS DESTINATARIOS DE LA LEY (TITULO VI, ARTÍCULOS 17 A 20) :
MECANISMOS DE VIGILANCIA Y SANCIÓN (TÍTULO VII, ARTÍCULOS 19 A 24) :
Competencia dual respecto de base de datos personales destinados al cálculo de riesgo crediticio: Superintendencia Financiera para operadores, fuentes y usuarios y Superintendencia de Industria y Comercio competencia residual.
Competencia única de la Sic a través de una Delegatura de Protección de Datos. Se mantienen las competencias establecidas por la ley 1266 de 2008.
RÉGIMEN SANCIONATORIO Ley 1581 de 2012 SANCIONES: Proceden frente a personas de naturaleza privada que actúen como Responsables y Encargados del Tratamiento de datos : •
• • •
Multas de carácter personal e institucional hasta por 2000 s.m.m.l.v. Pueden ser sucesivas Suspensión de las actividades hasta por 6 meses. En el acto se indican los correctivos a aplicar. Cierre temporal de las operaciones del banco de datos si no hubiere efectuado correctivos. Cierre inmediato y definitivo de bancos de datos que involucre el Tratamiento de datos sensibles.
Si la Sic advierte el presunto incumplimiento de las normas por una autoridad pública remite actuación a la Procuraduría.
7
CRITERIOS DE GRADUACIÓN: Se aplican los mismos criterios de Ley 1266 de 2008 y en la 1581 de 2012 y son: • Dimensión del daño o peligro a los intereses jurídicos tutelados. • Beneficio económico para el infractor. • Reincidencia. • Resistencia, negativa u obstrucción a la investigación. • Renuencia a acatar las órdenes. • Reconocimiento o aceptación expresa (atenuante).
8
PROCEDIMIENTOS ADMISNITRATIVOS APLICADOS EN LA SIC Grupo de Hábeas Data: Procedimiento administrativo general establecido en la Ley 1437 de 2011 (Código de Procedimiento Administrativo y de lo Contenciosos Administrativo – Titulo I).
Grupo de Investigaciones Administrativas: A las investigaciones administrativas iniciadas antes del 2 de julio del 2012 (Ley 1266 de 2008) se aplica el establecido en el Decreto 01 de 1984. Las iniciadas después de esa fecha el establecido en el Capítulo III de la Ley 1437 de 2011 (Código de Procedimiento Administrativo y de lo Contenciosos Administrativo).
Recursos que proceden: Recurso de reposición contra la decisión de la Dirección de Investigación de Protección de Datos Personales. Recurso de Apelación ante el Delegado de Protección de Datos Personales de la SIC (como principal o subsidiario) Recurso de queja por haber negado el de apelación.
PROCEDIMIENTO ADMINISTRATIVO SANCIONATORIO Averiguaciones preliminares Formulación de cargos Descargos y solicitud de pruebas (15 días) Etapa probatoria (30 días) Traslado al investigado (30 días) Decisión final Recursos ( Reposición, Apelación, Queja)
REGISTRO NACIONAL DE BASES DE DATOS LEY 1581 DE 2012, ART 25
Directorio público de las bases de datos sujetas a Tratamiento que operan en el país Permitirá conocer: - Realidad de las bases de datos del país, - Volumen de información que se maneja, - Quién o quiénes adelantan su tratamiento, - Finalidad y - Políticas de tratamiento Sujeto a reglamentación
Delegatura para la Protección de Datos Personales
ESTADÍSTICAS
28/06/2013
13
Delegatura para la Protección de Datos Personales
Sanciones
AÑO AÑO 2010 2010 2011 2011 2012 2012 2013* TOTAL TOTAL
NO. O. N27 27 177 177 141 134 17 338 362
Valor Sanciones Por Año Protección de Datos $ 2.500.000.000
$ 2.300.402.400
$ 2.000.000.000 $ 1.408.110.660
$ 1.500.000.000 $ 1.000.000.000 $ 633.450.150
$ 498.127.500
$ 500.000.000 $0
2010
2011
2012
2013*
*: Cifras a 30 de abril de 2013
28/06/2013
14
VALOR VALOR $ 633.450.150 $$633.450.150 2.300.402.400 $2.300.402.400 $ 1.408.110.660 $$1.374.814.200 498.127.500 $4.308.666.050 $ 4.890.090.710
Delegatura para la Protección de Datos Personales
MOTIVOS DE SANCIÓN CONCEPTO
NO.
JE
Veracidad
329
53%
Resolver los reclamos y peticiones del titular
137
22%
Comunicación previa
67
11%
Autorización
46
7%
11
2%
12
2%
6
1%
10
2%
1
0%
2
0%
621
100%
Cumplir con las instrucciones que imparta la autoridad de control Informar al operador que determinada información se encuentra en discusión por parte de su titular Acceso a la información por parte de los usuarios Garantizar al titular la posibilidad de conocer la información que sobre el reposa. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titula Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes TOTAL
28/06/2013
PORCENTA
15
Delegatura para la Protección de Datos Personales
VISITAS A OPERADORES Y FUENTES CONSOLIDADO VISITAS
28/06/2013
AÑO
PROGRAMADAS
REALIZADAS
2011
4
4
2012
38
40
16
Superintendencia de Industria de Comercio Dirección de Investigación de Protección de Datos Personales E-mail:
[email protected] Carrera 13 # 27 -00 Piso 7 /Bogotá, Colombia Tel.: (571) 5870000 Ext 70008