Reflexiones y Desafíos sobre el Registro Nacional de Base de Datos Personales
Por Sol Beatriz Calle D´Aleman Ph,D
Protección de Datos Personales
Quiénes Somos Misión Somos una firma de abogados y consultores que, a partir de la solida compresión de la Tecnología, entrega soluciones innovadoras a nuestros clientes para hacer viables y seguros sus modelos de negocios basados en la información y el conocimiento
C o m e r c i o Electrónico
1.
Seguridad de la Información
Contratación de Tecnología Propiedad Intelectual Arbitrajes y Litigios
¿Para qué Cumplir?
3.
¿La privacidad y la Seguridad de la Información le importan hoy al mundo?
4.
El Presidente Obama en su discurso sobre el estado de la Unión del 20 de enero de 2015 expresó:
…ningún país extranjero, ningún hacker, debería ser capaz de paralizar nuestras redes, robar nuestros secretos comerciales o invadir la privacidad …
Conocimiento e información: activos a proteger en el Siglo XXI
5.
6.
Antecedentes – Multas Impuestas por mal tratamiento de Datos Personales 544 multas por infracciones a la Ley 1266 de 2008 sobre Habeas Data Financiero Multas por valor 4.700 millones de pesos Ley 1266 Multas a otros actores 5.793 millones
7.
123 millones 348 M
Multa por 719 millones
Multa por Datos en Internet por $ 96.000.000
42 personas condenadas por cometer el Delito de Violación de Datos Personales en Colombia
348 millones Fuente. Medios de Comunicación
Marco Jurídico
Artículo 15 de la Constitución Política Ley Estatutaria 1581 de 2012
• Régimen de Protección de Datos Personales en Colombia
Decreto 1377 de 2013 Decreto 886 de 2014 Proyecto de Circular de la SIC
Sentencia C – 748 de 2011 Jurisprudencia de la Corte Constitucional desde 1992
8.
De la recolección de Datos Personales • Importante recordar del Decreto 1377 de 2013
ü Las bases de datos deben limitarse a datos personales que sean pertinentes y adecuados a la finalidad ü LA SIC podrá solicitar los procedimientos usados para el tratamiento, como también la descripción de las finalidades y la explicación de la necesidad de la recolección de datos personales ü Prohibición Legal de usar medios engañosos o fraudulentos para recolectar y tratar datos personales
9.
De la Protección de Datos Personales • Restricciones en el Tratamiento de Datos Personales
ü Tratar datos personales sin consentimiento del Titular o sin Autorización Legal ü Tratar datos personales sin cumplir con los principios legales y jurisprudenciales aplicables al Tratamiento ü Prohibición de tratar datos personales sensibles ü Prohibición de tratar datos de Menores de Edad ü Prohibición de transferir datos personales a países no seguros
10.
De la Protección de Datos Personales • De la Obtención del Consentimiento para el Tratamiento de Datos Personales
ü Consentimiento se puede obtener por medio Físico, Grabación, Digital o Conducta Inequívoca ü En ningún caso el silencio podrá asimilarse a una conducta inequívoca o consentimiento ü Los Responsables deberán conservar prueba del Consentimiento otorgado por los Titulares y entregar copia de este cuando lo soliciten
11.
De la Protección de Datos Personales • De los Datos Recolectados antes de Junio de 2013.
ü Los Responsable deben haber obtenido el Consentimiento de los titulares a la fecha, a través de los mecanismos eficientes usados en su operación ü Debió haberse comunicado las Políticas y los Procedimientos para Ejercer el Habeas Data ü Debió Informarse las finalidades de los Tratamientos, según las bases de datos existentes ü A la fecha deben estar cumpliendo con todos los principios de la Protección de Datos Personales
12.
De la Protección de Datos Personales
Mecanismo Excepcionales Alternos para obtener el consentimiento, cuando: ü Exista una carga desproporcionada, que implique un costo excesivo, que comprometa la estabilidad financiera del Responsable
• Interpretación del Artículo 10 del Decreto 1377 de 2013
ü Sea imposible obtener el consentimiento de los Titulares cuando el Responsable no disponga de los Datos de Contacto o estos están desactualizados Autorización Transitoria para el Tratamiento de datos personales ü Debió informarse a la SIC en cual situación de las situaciones excepcionales se encontraba la empresa, demostrando la misma
13.
Régimen de Protección de Datos Personales
• Articulo 25 de la Ley 1581 de 2012 • Del Registro Nacional de Bases de Datos Personales
ü Es el Directorio Público de las Bases de Datos que tratan datos personales, salvo las exceptuadas Sistema Inteligente de Protección de Datos Personales a cargo de la SIC ü Obligación de Responsable y Encargados de aportar las Políticas de Protección de Datos Personales
14.
Régimen de Protección de Datos Personales
• Información MINIMA • del Registro Nacional de Bases de Datos
ü Datos de identificación, ubicación y contacto del Responsable y/o del Encargado del Tratamiento ü Canales para el ejercicio del Habeas Data ü Nombre y Finalidad de la Base de Datos ü Forma de Tratamiento ü Política de Tratamiento * La SIC podrá exigir información adicional para el Registro
15.
Registro Nacional de Base de Datos
• Información del RESPONSABLE
ü Nombre o Razón Social e identificación ü Datos de Ubicación ü Datos de Contacto (Estructura Administrativa Responsable) ü El Responsable deberá indicar los datos de los Encargados del Tratamiento, en los casos que aplique.
16.
Registro Nacional de Base de Datos
• Canales para Ejercer los Derechos
ü Es el proceso logístico para recibir Peticiones, Quejas, Reclamos y dar Respuestas al Ejercicio del Habeas Data, dispuesto por el Responsable y en Encargado del tratamiento de los Datos. ü Debe estar disponible para los Titulares de los Datos Personales ü Debe permitir ejercer el Derecho a Conocer, Actualizar, Rectificar, Oponerse y Cancelar los datos personales, en los términos de Ley.
17.
Registro Nacional de Base de Datos • Nombre y Finalidad de la Base de Datos
ü El Responsable, respecto de cada base de datos a inscribir, informará: ü Nombre de la Base de Datos ü Finalidad(es)
¿Como vamos a gestionar este inventario?
18.
Registro Nacional de Base de Datos
• Formas de Tratamiento de los Datos Personales
ü Tratamiento Automatizado ü Audiovisual ü Magnetofónico ü Informático
ü Tratamiento Manual ü Tratamiento Manual y Automatizado
19.
Registro Nacional de Base de Datos
• Política de Tratamiento de Datos Personales
ü Deposito de la Política de Protección de Datos Personales ü Contenido Mínimo ü N ombre y datos de contacto del Responsable ü Tratamiento al cual serán sometidos los datos y la finalidad, cuando no hayan sido informadas mediante aviso de privacidad ü Derechos del Titular ü Área gestora del Habeas Data ü Procedimiento para el Habeas Data ü Fecha de entrada en vigencia de la Ley y Período de vigencia de la Base de Datos
20.
Registro Nacional de Un (1) año desde la habilitación del Base de Datos Registro para las bases de datos existentes • Plazo de Inscripción y Condiciones del Registro y Actualización
Dos (2) meses después de la creación de una nueva Base de Datos El procedimiento de registro esta por definirse por la SIC Deberá actualizar en el Registro los cambios sustanciales que sufra la información comunicada
21.
22.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Información Almacenada en la Base de Datos
ü Descripción de los Tipos de Datos Personales
ü Agrupados por Categorías y Subcategorías
23.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Medidas de Seguridad de la información
ü Descripción de los controles implementados por el Responsable De acuerdo a las preguntas dispuestas en el Registro Nacional de Bases de Datos
24.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Procedencia de los Datos Personales
ü Entregados directamente por el Titular? ü Entregados por Terceros? ü Existe autorización para el tratamiento? ü Existe causal de exoneración?
25.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Transferencia Internacional de Datos Personales
ü Identificación del destinatario como Responsable del Tratamiento ü País de ubicación del Responsable ü La operación esta cobijada o no por una Declaración de Conformidad por parte de la SIC o por una causal de excepción
26.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Trasmisión Internacional de Datos Personales
ü Identificación del destinatario como Encargado del Tratamiento ü País de ubicación del Encargado ü Especificar si existe un Contrato de Trasmisión de Datos o si existe una Declaración de Conformidad por parte de la SIC
27.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Cesión de la Base de Datos
Identificación del Cesionario de la Base de Datos El cesionario adquiere la condición de Responsable, desde el momento en que se perfecciona la Cesión
28.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• Reporte de Novedades
Finalizada la inscripción de la Base de Datos en el Registro Nacional de Base de Datos, se debe: Reporte consolidado de las quejas y reclamos presentados durante el semestre Los incidentes de seguridad deben reportarse dentro de las 24 horas siguientes al momento en que se detecten
29.
Proyecto de Circular sobre el Registro Nacional de Base de Datos
• De acuerdo con el Nit de su empresa, identifique el período probable en que debe cumplir con el Registro
30.
El Principio de Responsabilidad Demostrada es la medida que permite evidenciar el Cumplimiento del Régimen de Protección de Datos Personales
32.
Principio de la Responsabilidad Demostrada
• Artículo 26 del Decreto 1377 de 2013
33.
ü Los Responsables del Tratamiento deben estar en capacidad de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con la Ley, considerando:
Mínimos de un Programa de Responsabilidad Demostrada ¿Existe una Línea Base de Protección de Datos Personales? ¿Es Solida? Componentes Generales a Desarrollar desarrollar 1.
Estrategia y Gobierno de la Privacidad. Art 13 y 27 - Decreto 1377/2013
2.
Capacitación en Privacidad. Numeral 2 Art 27 Decreto 1377/2013
3.
Inventario de las Bases de Datos Personales. Art 5 – Decreto 886/2014
4.
Privacidad en la Operación de la empresa. Art 26 Decreto 1377/2013
5.
Cumplimiento de los Procedimientos de Habeas Data. Art. 27 Decreto 1377/2013
6.
Gestión de Incidentes de Seguridad que comprometan datos personales. Literal n) Art. 17 Ley 1581/2012
7.
Respuesta a requerimientos de autoridades. Art. 19 Ley 1581/2012
34.
Te invitamos a seguirnos… A través de nuestras herramientas de social media:
35.
q Canal en Youtube https://www.youtube.com/results? search_query=velasco+calle+iustic q Blog http://velascocalle.co/blog/ q Descarga nuestros e-books a través del siguiente enlace http://velascocalle.co/blog/category/ ebooks/
Datos de Contacto Sol Beatriz Calle D´Aleman
[email protected] • Velasco & Calle • D´Aleman. Abogados • Tel (574) 3523180 3522540 • Cra 34 No. 11 B –70 Medellín • www.iustic.co
35.
Arean Velasco Melo
[email protected] www.velascocalle.co