Protección de datos personales: listado de requisitos legales

Protección de datos personales: listado de requisitos legales

Protección de datos personales: listado de requisitos legales

¿Cómo cumplir con las normas de gestión de datos personales y hacer el registro de las bases de datos?

Esta columna presenta una lista práctica de las principales obligaciones que deben cumplir quienes operan y gestionan bases de datos personales en Colombia, de acuerdo con la Ley de Datos Personales y demás actos reglamentarios.

Vale la pena recordar que los datos personales engloban cualquier información que pueda identificar o asociarse a un individuo, quien será su titular. El marco legal de los datos personales concede una protección especial para los datos sensibles y datos de niñas, niños y adolescentes, cuyo tratamiento está sujeto a requisitos particulares que serán abordados en otra columna.


1. Política de tratamiento de datos

Las personas que gestionan bases de datos personales en Colombia deben adoptar un manual interno de políticas y procedimientos con el fin de proteger los derechos de los titulares y atender sus consultas y reclamos.

La política de tratamiento de datos debe ponerse a disposición de los titulares y debe estar escrita en un lenguaje claro y sencillo. La política de tratamiento de datos debe (i) identificar a quien opera la base de datos personales y proveer sus datos de contacto, (ii) definir expresamente el tipo de tratamiento de los datos personales y la finalidad del mismo, (iii) establecer los derechos de los titulares, (iv) detallar el procedimiento de solicitud de información, actualización, rectificación y supresión de datos personales, así como el procedimiento de revocación de autorización de tratamiento de datos personales, y (v) la vigencia de política de datos.

En caso de modificar la política de tratamiento de datos, se debe comunicar las modificaciones a los titulares, a más tardar, en el momento de la entrada en vigencia. Aquellos que deleguen la operación de las bases de datos personales en un tercero deben supervisar que éste cumpla con la política de datos personales y respete los derechos de los titulares.


2. Aviso de privacidad

El Decreto No. 1377 de 2013 permite que se utilice un aviso de privacidad al momento de la recolección de datos personales, cuando no les sea posible comunicar a los titulares toda la política de tratamiento de datos.

Así las cosas, el aviso de privacidad sirve para informar a los titulares de manera abreviada sobre (i) la identidad del responsable del tratamiento y sus datos de contacto, (ii) la existencia de la política de tratamiento de datos y la forma de acceder a la misma, (iii) el tratamiento de los datos y su finalidad, y (iv) los derechos de los titulares. Sin embargo, el aviso de privacidad no exime a quienes operan bases de datos personales de la responsabilidad de implementar y dar a conocer la política de tratamiento de datos.


3. Autorización

Quienes operan y gestionan bases de datos personales deben obtener el consentimiento previo, expreso e informado de los titulares para realizar el tratamiento de los datos personales. La autorización deberá ser obtenida al momento de la recolección de los datos y almacenada en cualquier medio que permita su consulta posterior.

Los titulares pueden otorgar su autorización de forma escrita, oral o mediante conductas inequívocas. Sin embargo, las personas que procesen datos personales no podrán interpretar el silencio de los titulares como una autorización.

No obstante, la autorización del titular no será necesaria para el tratamiento de los datos personales cuando el tratamiento de la información (i) sea autorizada por una entidad publica, en virtud de una orden judicial, o por la ley para fines históricos, estadísticos o científicos, (ii) se trate de un dato público, contenido en registros, documentos, o boletines u otra fuente oficial que no esté sometida a reserva, (iii) en casos de urgencia médica o sanitaria, (iv) la información esté relacionada con el registro civil de las personas.


4. Medidas de seguridad

En virtud del principio de seguridad de la información, las personas que operen y gestionen bases de datos personales deben implementar medidas necesarias en el tratamiento de datos personales. Esto con el fin de evitar la adulteración, pérdida, acceso o uso no autorizado de estos datos.


5. Inscripción ante el Registro Nacional de Bases de Datos (RNBD).

El Registro Nacional de Bases de Datos (RNBD) es el directorio de las bases de datos gestionadas en Colombia, el cual es administrado por la Superintendencia de Industria y Comercio (SIC) y está disponible para su libre consulta. En virtud del Decreto No. 886 de 2014, el Decreto 1074 de 2015 y la Circular Externa No. 2 de 2015, el gobierno reglamentó la inscripción de base de datos personales en el RNBD.

Así las cosas, las personas que actualmente operen y gestionen bases de datos personales deben inscribirlas en el RNBD antes del 8 de noviembre de 2016. Los empresarios que formen bases de datos personales con posterioridad, deben inscribirlas en el RNBD dentro de los dos meses siguientes a la fecha de su creación.

{quote}

La información que se debe inscribir en el RNBD incluye (i) identificación y datos de contacto del responsable del tratamiento, (ii) procedimientos y canales implementados para que los titulares ejerzan sus derechos, (iii) nombre y finalidad de la base de datos, (iv) forma del tratamiento de datos, (v) la política del tratamiento de la información, (vi) naturaleza de los datos personales, (vii) medidas de seguridad de la información, (viii) procedencia de los datos personales, así como transferencias internacionales o cesión de la base de datos, entre otra información relevante para supervisar el tratamiento de los datos personales.

Quienes operen y gestionen bases de datos personales deberán actualizar la inscripción ante el RNBD cada vez que realicen cambios sustanciales a la información relacionada con la base de datos personales, a saber la finalidad de la base de datos, la persona encargada del tratamiento, la clasificación y tipo de datos personales almacenado, medidas de seguridad de información, política de tratamiento de datos, así como la transferencia y transmisión internacional de datos personales. Así mismo, deberán reportar novedades relacionadas con reclamos presentados por los titulares e incidentes de seguridad, en caso de que se presenten.

Visto 4358 veces
Cristina Narváez

Abogada, Magíster en Propiedad Intelectual de la George Washington University, Especialista en Derecho Comercial de la Universidad de los Andes.