HABEAS DATA

ACCESO A INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES

1. Definiciones
u ¿Qué es el derecho de Hábeas Data?
Es aquel que tiene toda persona de conocer, actualizar y rectificar la información
que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública
o privada.
u Titular de la información
Es la persona natural o jurídica a quien se refiere la información que reposa en un
banco de datos.
u ¿Qué se entiende por vínculo de cualquier otra índole?
Debe entenderse como aquel que genere una o más obligaciones entre la fuente y
el titular que legitime al primero a reportar información tanto negativa como positiva
del último.
u Operador de la información
La persona, entidad u organización que recibe de la fuente datos personales sobre
varios titulares de la información, los administra y los pone en conocimiento de los
usuarios bajo los parámetros de la ley
1. Definiciones
u Usuario de la información
Es la persona natural o jurídica que puede acceder a información personal de uno o varios
titulares de la información suministrada por el operador o por la fuente, o directamente por
el titular de la información.
u Dato personal
Se refiere a cualquier pieza de información vinculada a una o varias personas
determinadas o determinables o que puedan asociarse con una persona natural o
jurídica. Los datos personales pueden ser públicos, semiprivados o privados.
u Principio de finalidad
El principio de finalidad, obliga a que las actividades de recolección de datos personales
obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley
u Circulación restringida
Consiste en que a menos que la información sea pública, los datos personales no podrán
ser accesibles por Internet o por otros medios de divulgación o comunicación masiva,
salvo que dicho acceso sea técnicamente controlable para brindar un conocimiento
restringido sólo a los titulares o a los usuarios autorizados para ello.
1. Definiciones
u Temporalidad de la información
Se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios
cuando deje de servir para la finalidad del banco de datos.
u Principio de interpretación integral de derechos constitucionales
Consiste en que la normas que rigen los datos personales se interpretarán en el sentido que
se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen
nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información.
u Principio de seguridad
Impone que en la información contenida en los bancos de datos, así como aquella que
resulte de las consultas que realicen los usuarios, se incorporen las medidas técnicas
necesarias para garantizar la seguridad de los registros, con el fin de evitar su adulteración,
pérdida, consulta o uso no autorizado.
u Principio de confidencialidad
consiste en que todas las personas naturales o jurídicas que intervengan en la
administración de datos personales que no tengan carácter público, están obligadas en
todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su
relación con alguna de las labores que comprende la administración de datos, pudiendo
sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo
de las actividades autorizadas.
2. Aplicación del 'Habeas data'
u ¿La actual regulación sobre hábeas data se refiere a toda la administración
de los datos personales?
No. La regulación actual sobre hábeas data, Ley 1266 de 2008, constituye
una regulación parcial de este derecho, concentrada en las reglas para la
administración de datos personales de carácter financiero, comercial, de
servicios y proveniente de terceros países, destinada al cálculo del riesgo
crediticio.
En ese sentido la recopilación, tratamiento y circulación de datos en materia
de seguridad social, asuntos tributarios, la realizada por las instituciones de
inteligencia y seguridad del Estado, el registro mercantil, etc., están
amparadas por el artículo 15 de la Constitución y desarrolladas por la
jurisprudencia de la Corte Constitucional.
3. Operadores y fuentes de información
u ¿Qué autoridad ejerce la vigilancia de los operadores, las fuentes y usuarios
de la información?
Por regla general, la autoridad que ejerce la función de vigilancia de los
operadores, las fuentes y usuarios de la información crediticia, comercial, de
servicios y la proveniente de terceros países, en cuanto a la administración de
datos personales es la Superintendencia de Industria y Comercio. Sin
embargo, cuando la fuente, usuario u operador sea una entidad vigilada por
la Superintendencia Financiera, será esta la entidad que ejerza dicha
vigilancia, como es el caso de las entidades bancarias.
u ¿Cuál es el plazo que tiene un operador para atender una consulta?
Un término máximo de diez (10) días hábiles contados a partir de la fecha de
recibo. Cuando no fuere posible atender la petición o consulta dentro de
dicho término, se podrá prorrogar el anterior plazo por cinco (5) días hábiles
más, previa justificación al interesado y señalando la fecha en que se
atenderá la petición.
4. Entrega y suministro de datos
u Casos en que es posible que el operador de un banco de datos pueda
suministrar la información que administra
o A los titulares, a las personas debidamente autorizadas por estos y a sus
causahabientes.
o A los usuarios de la información, en los casos que se haya obtenido autorización del
titular o, en aquellos establecidos expresamente en la ley .
o A cualquier autoridad judicial, previa orden judicial.
o A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha
información corresponda directamente al cumplimiento de alguna de sus
funciones.
o A los órganos de control y demás dependencias de investigación disciplinaria,
fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de
una investigación en curso.
4. Entrega y suministro de datos
u Casos en que es posible que el operador de un banco de datos pueda
suministrar la información que administra
o A otros operadores de datos, cuando se cuente con autorización del titular.
o A otros operadores de datos, sin ser necesaria la autorización del titular , siempre
que el banco de datos de destino tenga la misma finalidad que tiene el operador
que entrega los datos.
o A un operador que administre un banco de datos extranjero, sin autorización del
titular, siempre que se deje constancia escrita de la entrega de la información y
previa verificación por parte del operador de que las leyes del país respectivo o el
receptor otorgan garantías suficientes para la protección de los derechos del titular.
o A otras personas autorizadas por la ley.
4. Entrega y suministro de datos
u ¿Es posible que la fuente únicamente reporte información desfavorable?
No. La ley prohíbe expresamente que la administración de datos personales
se limite a información desfavorable.
u ¿La información que reporte la fuente a los operadores debe ser veraz?
Sí. La fuente de información tiene el deber de garantizar que la información
que suministre a los operadores de los bancos de datos sea veraz, completa,
exacta, actualizada y comprobable.
u ¿El operador tiene el deber de establecer que la información que le remite la
fuente es veraz?
No. El operador de la información debe asumir que el dato personal que le
remite la fuente es verdadero y su responsabilidad se limita a verificar que los
datos reportados (i) estén relacionados con información financiera, comercial
y crediticia, (ii) sean pertinentes para el cálculo del riesgo crediticio y (iii) sean
completos, esto es, que no sea fraccionada o parcial.
4. Entrega y suministro de datos
u ¿Un usuario que consulta la información de una persona, debe indicar la
finalidad perseguida?
Sí. El usuario que consulte la información de una persona contenida en una
base de datos debe indicar la finalidad para la cual consultó dicha
información y si tal conducta se realizó en cumplimiento del principio de
finalidad legítima de la administración de datos personales.
5. Autorización para entrega de datos
u ¿Es deber de la fuente contar con la autorización previa, libre y expresa del
titular de la información, para que se incluya su información en las bases de
datos?
Sí. La autorización dada por el titular de la información la cual debe ser
previa, libre y expresa, es requisito indispensable para que se incluya la
información de los titulares en las bases de datos
u ¿Qué sucede si una fuente de información no cuenta con la autorización para
realizar el reporte?
En el evento el que una fuente no cuente con la autorización del titular de la
información para realizar el reporte a un operador, deberá proceder a
eliminar todo tipo de información, que hubiere reportado.
6. Administración de datos de usuarios
u Principios generales que orientan la administración de datos
Veracidad o calidad de los registros o datos, finalidad, circulación restringida,
temporalidad de la información, interpretación integral de derechos
constitucionales, seguridad y confidencialidad.
El principio de veracidad o calidad de los registros o datos consiste en que la
información contenida en los bancos de datos debe ser veraz, completa,
exacta, actualizada, comprobable y comprensible
7. Corrección, actualización o retiro de
datos
u ¿Puede la SIC ordenar la corrección, actualización o retiro de datos personales?
Sí. La Superintendencia de Industria y Comercio podrá ordenar de oficio o a
petición de parte, la corrección, actualización o retiro de datos personales
cuando ello sea procedente. Cuando sea a petición de parte, se deberá
acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los
mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o lo
fue en forma desfavorable.
u Decisiones que adopte la SIC dentro de la actuación administrativa
o Archivar la actuación administrativa, si no encuentra probada la vulneración de las
disposiciones sobre administración de datos personales.
o Imponer sanciones por considerar que se vulneró el régimen de administración de
datos personales
o Impartir órdenes administrativas para restablecer el derecho del titular de la
información.
8. Consultar la información por el titular
u Los titulares de la información podrán conocer la información personal que
repose de ellos en cualquier banco de datos, mediante la presentación de
peticiones o consultas ante el operador que la administre.
u La consulta de la información financiera, crediticia, comercial, de servicios y la
proveniente de terceros países por parte del titular, será gratuita al menos una
(1) vez cada mes calendario.
u Las entidades que administran bases de datos deben garantizar que los datos
de las personas únicamente sean suministrados a su legítimo titular. Por lo
tanto para protegerlo de divulgaciones no autorizadas de su información
personal, es la exigencia por parte de los operadores de la presentación
personal de las consultas que se hagan por escrito, incluyendo el
reconocimiento de la firma del titular por parte de un notario público.
9. 3C ́s de la protección de datos
personales y la ciberseguridad

üCumplimiento

3C´s üConfianza
üCompetitividad
10. Evolución e interrelaciones

Derechos de
los
consumidores

Derecho de
la
competencia

Derecho a la
protección de
datos
personales
11. La PDP en la práctica

TRANSPARENCIA RESPONSABILIDAD CONFIANZA GLOBALIZACIÓN

Protección Instrumento
Ser responsable y
Ante terceros y clave para efectiva con global que
rendir cuentas
generar confianza normas aporte seguridad
ante terceros
adaptables jurídica
Fuentes
u [Link]
u [Link]
u [Link]
u [Link]
on_datos_ago28.pdf
u Ley estatutaria No 1581 de 17 octubre de 2012
u Decreto No 1377 de 2013
u Cartilla ley 1266 de 2008 – Hábeas Data
Gracias,
u RIESGOS IDENTIFICADOS