Actividad 1

COMPUTO LEGAL
ACTIVIDAD 1

Mancilla Henry Steven

Ingeniero en sistemas
[email protected]
Universidad Saint Leo

Notas del autor

Mancilla Henry Steven,
Maestría en Ciberseguridad
Esta actividad ha sido financiada por los propios autores
La conexión asociada con esta actividad debe ser dirigido al Dr. Rodrigo Cadena
Universidad Saint Leo, 33701 County Road 52, St Leo, FL 33574, Estados Unidos.
Contacto: [email protected]
Actividad 1

INTRODUCCIÓN 3
DESARROLLO 4
Investigue las leyes de privacidad de la información de su país y genere una línea de tiempo
de las iniciativas más importantes hasta la ley vigente y sus modificaciones más recientes. 4
Basado en la ley de privacidad de información actual, explique cuáles son las clasificaciones
de información sugeridas por ley y a qué tipo de entidades aplica. 4
¿Qué mecanismos reglamenta la ley para la recolección, autorización y supresión del
tratamiento de datos? 5
¿Tiene contemplada la ley algún tipo de restricción para la transferencia de datos entre
países?, si es así explique qué restricciones son. 5
¿Cuáles son los responsables y los cargos asociados que deben contemplar en una
organización para poder cumplir con lo requerido por la ley? 6
¿Cuáles controles de seguridad se deberían implementar para poder garantizar la seguridad
de la información de acuerdo con la clasificación requerida por la ley? Presente algunos
ejemplos. 7
Investigue cuáles eventos relevantes de infracción a esta ley se han dado y cuáles han sido
las penalizaciones impuestas por los organismos de control. 7
¿Cómo contempla esta ley la relación con las grandes tecnológicas y/o proveedores de
servicios en Cloud (Google, Microsoft, Oracle, Amazon) que gestionan este tipo de
información para sus clientes? 9
CONCLUSIÓN 10
WEBGRAFIA 11
Actividad 1

INTRODUCCIÓN
En este trabajo se encontrará información acerca de la privacidad y el
derecho que tiene toda persona con sus datos personales, ya que hoy en día los
datos de cada persona son muy valiosos y las grandes empresas las usan en sus
bases de datos para marketing y publicidad, de este modo se debe de conocer los
derechos que tenemos para no ser atropellados por estas compañías.
Actividad 1

DESARROLLO
Investigue las leyes de privacidad de la información de su país y
genere una línea de tiempo de las iniciativas más importantes
hasta la ley vigente y sus modificaciones más recientes.
• Constitución Política de 1991:
o Norma: Constitución Política de Colombia.
o Artículo relevante: Artículo 15 - Derecho a la intimidad.

• Norma: ley 1266 de 2008.

o Artículo relevante: Artículo 4 - Definiciones y ámbito de aplicación.

• Norma: Decreto 1377 de 2013.

o Artículo relevante: Artículo 10 - Requisitos para la autorización del titular.

• Norma: ley 1581 de 2012.

o Artículo relevante: Artículo 5 - Principios para el tratamiento de datos personales.

• Norma: Decreto 886 de 2014.

o Artículo relevante: Artículo 13 - Procedimiento para el ejercicio de los derechos del
titular.

• Norma: ley 1712 de 2014.

o Artículo relevante: Artículo 7 - Derecho de acceso a la información.
• Norma: Ley 2018 de 2022.
o Artículo relevante: Modificación del artículo 15 de la Constitución Política.

Basado en la ley de privacidad de información actual, explique

cuáles son las clasificaciones de información sugeridas por ley y
a qué tipo de entidades aplica.
La información pública, en tanto no está relacionada con el ámbito de protección del derecho a
la intimidad, recae dentro del ejercicio amplio del derecho a recibir información y en
consecuencia, es de libre acceso .Comprende la relativa a los actos normativos de carácter
general
La información semiprivada corresponde a aquella información que no es pública, pero que se
encuentra sometida a algún grado de limitación para su acceso de manera que se trata de
información que sólo puede accederse por orden de autoridad judicial o administrativa y para los
fines propios de sus funciones, o a través del cumplimiento de los principios de administración
de datos personales.
La información privada es aquella que por versar sobre información personal o no, y que, por
encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad
judicial en el cumplimiento de sus funciones. Si se trata de información reservada, tal y como
ocurre por ejemplo con la relativa a datos sensibles, a la inclinación sexual, a los hábitos
Actividad 1

personales o los datos relativos a la pertenencia a un partido o movimiento político de los

ciudadanos votantes, ella no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el
cumplimiento de sus funciones.

¿Qué mecanismos reglamenta la ley para la recolección,

autorización y supresión del tratamiento de datos?
La Ley 1581 de 2012 en Colombia reglamenta diversos mecanismos para la recolección,
autorización y supresión del tratamiento de datos personales. A continuación, se describen
algunos de los principales mecanismos establecidos por la ley:
Consentimiento: La ley establece que la recolección y tratamiento de datos personales requiere
el consentimiento previo, expreso e Informado del titular de los datos, a menos que exista una
excepción legal. El consentimiento debe ser obtenido de manera clara y específica, y debe
abarcar la finalidad para la cual se recolectan los datos.
Autorización: En algunos casos, la ley establece la necesidad de obtener una autorización
adicional al consentimiento para el tratamiento de datos. Esta autorización debe cumplir con
requisitos específicos y debe ser otorgada de manera libre, previa, expresa e informada por el
titular de los datos.

Finalidad: La ley establece que la recolección y tratamiento de datos personales deben tener una
finalidad legítima y específica, la cual debe ser Informada al titular de los datos al momento de
obtener su consentimiento. Los datos no pueden ser utilizados para fines diferentes a aquellos
para los cuales fueron recolectados, a menos que exista autorización adicional o una excepción
legal.

Derechos del titular: La ley reconoce y regula los derechos de los titulares de los datos
personales. Como el derecho de acceso, rectificación, actualización y supresión de sus datos.
Los titulares pueden ejercer estos derechos de manera gratuita y en cualquier momento, y las
entidades que tratan los datos deben contar con mecanismos para garantizar su ejercicio
efectivo.

Supresión de datos: La ley establece que los datos personales deben ser suprimidos o
eliminados cuando hayan dejado de ser necesarios para la finalidad para la cual fueron
recolectados, o cuando se cumpla con un deber legal o contractual de eliminación.

Estos son solo algunos de los mecanismos reglamentados por la Ley 1581 de 2012 en Colombia
para la recolección, autorización y supresión del tratamiento de datos personales. La ley también
establece disposiciones adicionales relacionadas con la seguridad de los datos, la transferencia
internacional de datos, la responsabilidad de los encargados del tratamiento y otros aspectos
relevantes para la protección de la privacidad y los derechos de los titulares de datos.

¿Tiene contemplada la ley algún tipo de restricción para la

transferencia de datos entre países?, si es así explique qué
restricciones son.
si, la Ley 1581 de 2012 en Colombia contempla restricciones para la transferencia de datos
personales fuera del territorio colombiano. Estas restricciones están diseñadas para garantizar
Actividad 1

un nivel adecuado de protección de los datos personales cuando son transferidos a países que
no ofrecen un nivel de protección equivalente al establecido por la legislación colombiana.

¿Cuáles son los responsables y los cargos asociados que deben

contemplar en una organización para poder cumplir con lo
requerido por la ley?
Responsable del Tratamiento: Es la persona natural o jurídica, de carácter público o privado, que
decide sobre la recolección, almacenamiento, uso, circulación o supresión de los datos
personales.

El responsable del Tratamiento tiene la responsabilidad de garantizar el cumplimiento de la ley y

de proteger los derechos de los titulares de los datos.

Encargado del Tratamiento: Es la persona natural o jurídica, de carácter público o privado, que
realiza el tratamiento de los datos personales por cuenta del Responsable del Tratamiento.

El Encargado del Tratamiento debe cumplir con las instrucciones del Responsable y garantizar
la seguridad de los datos personales.

Oficial de Protección de Datos (Data Protection Officer - DPO): Aunque no es un cargo obligatorio
según la ley colombiana, es recomendable designar a un Oficial de Protección de Datos,
especialmente para aquellas organizaciones que realizan tratamientos de datos de gran
envergadura o que manejan categorías especiales de datos.El DPO es responsable de
supervisar y asesorar en materia de protección de datos, así como de actuar como punto de
contacto con las autoridades de control.

Equipo de Cumplimiento de Protección de Datos: Un equipo encargado de implementar las

políticas y procedimientos de protección de datos, y de asegurar el cumplimiento de la ley en
toda la organización.

Equipo de Seguridad de la Información: Un equipo encargado de implementar y mantener las

medidas de seguridad técnicas y organizativas para proteger los datos personales contra
pérdidas, acceso no autorizado, divulgación, alteración o destrucción.

Es importante destacar que la estructura organizativa y los cargos específicos pueden variar
según el tamaño y la complejidad de la organización. Por tanto, es recomendable adaptar estas
responsabilidades y cargos a las necesidades y características de cada empresa u entidad,
siempre garantizando el cumplimiento de la ley 1581 de 2012.
Actividad 1

¿Cuáles controles de seguridad se deberían implementar para

poder garantizar la seguridad de la información de acuerdo con la
clasificación requerida por la ley? Presente algunos ejemplos.
Controles para la Información pública:
Políticas y procedimientos para el acceso y divulgación de la información pública.
Implementación de medidas de seguridad básicas, como contraseñas seguras y actualizadas, y
sistemas de protección contra malware y virus. Capacitación y sensibilización sobre la
Importancia de la seguridad de la información.

Controles para la información privada:

Políticas y procedimientos claros para el tratamiento de datos personales. Acceso restringido a
los datos personales únicamente a personal autorizado y con necesidad de
conocerlos.

Controles para la información secreta:

Implementación de medidas de seguridad más rigurosas, como encriptación de datos, control de
acceso altamente restrictivo y protección física adicional. Establecimiento de políticas de
confidencialidad y acuerdos de no divulgación con personal interno y externo.

Realización de evaluaciones de riesgos y análisis de impacto en la protección de datos.

Monitoreo constante de la seguridad de la información y detección de intrusiones.
Estos son solo algunos ejemplos de los controles de seguridad que se deben implementar para
garantizar la seguridad de la información según la clasificación requerida por la ley 1581 de 2012.
cada organización debe realizar una evaluación de riesgos específica y adaptar los controles de
seguridad a sus necesidades y circunstancias particulares, asegurando siempre el cumplimiento
de la legislación de protección de datos en Colombia.

Investigue cuáles eventos relevantes de infracción a esta ley se

han dado y cuáles han sido las penalizaciones impuestas por los
organismos de control.

La Superintendencia de Industria y Comercio como autoridad nacional para la protección de

datos personales, impuso una multa de $496,899,600 al BANCO FALABELLA S.A. y le ordenó
adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su
información como lo son, entre otros, el derecho de supresión de sus datos y la atención debida
y oportuna de sus solicitudes.
Actividad 1

La anterior decisión, contenida en la Resolución 9766 de 2019, se tomó con ocasión de la queja
de un ciudadano quien informó que le presentó al BANCO FALABELLA ocho (8) peticiones para
que dicha entidad eliminara su número telefónico de su base de datos y dejara de enviarle
mensajes para fines de prospección comercial, solicitud desatendida por esa compañía

La SIC concluyó que el BANCO FALABELLA:

No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por dicho banco
para fines de publicidad.
No respondió debida y oportunamente la petición ciudadana ya que se demoró un (1) año y cinco
(5) meses hacerlo, cuando el plazo máximo es de 15 días.
Dado lo anterior, en adición a la multa, la SIC le ordenó al BANCO FALABELLA adoptar medidas
efectivas, apropiadas y verificables en un plazo de dos (2) mesas para:

Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten
cuando esa información es utilizada por EL BANCO FALABELLA para fines comerciales o de
marketing.
Responder de manera oportuna y de fondo las consultas o reclamos que presenten las personas,
eliminando cualquier barrera innecesaria para garantizar los derechos de los titulares.
Poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud
de supresión de datos o la revocatoria de la autorización otorgada. Éstos deben implementarse
a través de los mismos medios o canales mediante los cuales el BANCO FALABELLA se contacta
o comunica con los titulares de los datos.
Adicionalmente, la entidad bancaria deberá, no sólo implementar un mecanismo de monitoreo
permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las
anteriores órdenes, sino realizar una auditoria externa enfocada en la verificación de la aplicación
de las medidas efectivas y apropiadas para cumplir todo lo ordenado.

EL CASO RAPPI

Mediante la Resolución 9800 de 2019 la Superintendencia de Industria y Comercio impuso una

multa de $298,121,760 a RAPPI S.A.S. y le ordenó adoptar medidas para proteger los derechos
de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho
de supresión de sus datos y la exigencia de que exista autorización previa para el tratamiento de
los mismos.

La anterior decisión se tomó con ocasión de la queja de un ciudadano mediante la cual puso de
presente que le solicitó a RAPPI que dejara de usar su información y que no le enviará correos
electrónicos o mensajes de datos para fines comerciales o de marketing, pero dicha empresa no
atendió debidamente las solicitudes.

La SIC concluyó que RAPPI:

No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por RAPPI para
fines de publicidad.
- No demostró la existencia de la autorización para poder recolectar y usar los datos.
- No probó que informó a la persona lo que ordena el artículo 12 de la ley 1581 de 2012.
- No respondió debida y oportunamente la petición ciudadana ya que se demoró 4 meses
y 25 días en hacerlo, cuando el plazo máximo es de 15 días.
Actividad 1

- No probó que cuenta con un mecanismo apropiado para establecer la identidad de las
personas que visitan las plataformas de RAPPI.

En atención a lo anterior, en adición a la multa, la SIC le ordenó a RAPPI adoptar medidas

efectivas, apropiadas y verificables en un plazo de tres (3) meses

¿Cómo contempla esta ley la relación con las grandes

tecnológicas y/o proveedores de servicios en Cloud (Google,
Microsoft, Oracle, Amazon) que gestionan este tipo de
información para sus clientes?
La Ley 1581 de 2012 en Colombia no hace una mención específica a las grandes tecnológicas
o proveedores de servicios en la nube como Google, Microsoft, Oracle, Amazon, entre otros. Sin
embargo, las disposiciones generales de la ley son aplicables a todas las entidades que realicen
el tratamiento de datos personales, lncluldos los proveedores de servicios en la nube.
Actividad 1

CONCLUSIÓN
Como se apreció a lo largo del documento, la protección de datos personales es
muy importante ya que un mal procedimiento puede incurrir a un proceso legal como lo que
vimos con las empresas Rappi y Banco Falabella que pagaron mas de 400 millones de
pesos por incurrir en una infracción de esta ley, es Importante destacar que, además de la
Ley 1581 de 2012, los proveedores de servicios en la nube también pueden estar sujetos
a otras leyes y regulaciones tanto nacionales como Internacionales, dependiendo de su
alcance y jurisdicción. Estas entidades suelen tener políticas y estándares Internos de
privacidad y seguridad, así como certificaciones y auditorías para demostrar su
cumplimiento normativo y proporcionar garantías a sus clientes en términos de protección
de datos.
Actividad 1

WEBGRAFIA
Mintic(01 marzo de 2020) Ley 1581 de 2012 Protección de Datos Personales
https://www.mintic.gov.co/portal/inicio/Atencion-y-Servicio-a-la-
Ciudadania/Transparencia/135881:Ley-1581-de-2012-Proteccion-de-Datos-Personales

SIC(s.f) Rappi y Banco Falabella sancionados por incumplir Ley de Protección de Datos
https://www.sic.gov.co/Rappi-y-Banco-Falabella-sancionados-por-incumplir-Ley-de-Proteccion-
de-
Datos#:~:text=La%20SIC%20concluy%C3%B3%20que%20RAPPI,la%20ley%201581%20de%
202012.

CCCE(04 marzo 2020) Millonarias multas por descuidos en la protección de los datos
https://www.ccce.org.co/noticias/millonarias-multas-por-descuidos-en-la-proteccion-de-los-
datos/