Objetivos, alcances y aspectos más

relevantes de la ley 1581 de 2012

Título Carlos Enrique Salazar M.

Director de Investigación de
Protección de Datos Personales

Bogotá D.C. septiembre de 2013

 1. Ley 1581 de 2012

11/09/2013 2
 MARCO CONSTITUCIONAL
Artículo 15 de la Constitución Política:

“Todas las personas tienen derecho a su intimidad personal y familiar y a

su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De
igual modo, tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y
en archivos de entidades públicas y privadas” .

En la recolección, tratamiento y circulación de datos se respetarán la

libertad y demás garantías consagradas en la Constitución.”
 Regulación legal en
materia de hábeas data
(Artículo 15)

D.R. 2952 de 2010 D.R. 1727 de 2009

 Ámbito de aplicación

La ley se aplica al tratamiento de datos personales

efectuado por entidades públicas o privadas,
dentro del país o cuando el Responsable o
Encargado no establecido en territorio nacional le
sea aplicable la legislación colombiana en virtud
de normas y tratados internacionales.

11/09/2013 5
 Exclusiones
 Bases de datos o archivos mantenidos en un ámbito
exclusivamente personal o doméstico
 Bases de datos que tengan para seguridad y defensa
nacional y la prevención, y control del lavado de activos
y financiamiento del terrorismo.
 Bases de datos de inteligencia y contrainteligencia.
 Bases de datos y archivos periodísticos y otros
contenidos editoriales.
 Bases de datos reguladas por la ley 1266 de 2008
(datos financieros – crediticios).
 Bases de datos del DANE (Ley 79 de 1993).

11/09/2013 6
 2. Aspecto relevantes

11/09/2013 7
 Principios
Ley 1581 de 2012

Legalidad
Finalidad
Libertad
Veracidad o calidad
Transparencia

Acceso y circulación restringida

Seguridad
Confidencialidad

11/09/2013 8
 ¿QUE ES UN DATO PERSONAL?

 Ley 1266 de 2008 : Cualquier pieza de información vinculada a una o

varias personas determinadas o determinables o que puedan asociarse
a una persona natural o jurídica. Los datos impersonales no se
sujetan al régimen de protección de datos de la presente ley.

 Ley 1581 de 2012: Cualquier información vinculada o que pueda

asociarse a una o varias personas naturales determinadas o
determinables.
 Clasificación de datos personales
(Ley 1266 de 2008 y Decreto 1377 de 2013)

 Dato Público: Calificado como tal en la ley. Dato que no es semiprivado,

privado o sensible (Ej. datos relativos al estado civil de las personas, su
profesión u oficio, su calidad de comerciante o servidor público y aquellos
que pueden obtenerse sin reserva alguna).

 Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni

pública y cuyo conocimiento interesa al titular y a cierto sector o grupo de
personas o a la sociedad en general (Ej. datos financieros y crediticios,).

 Datos privado: Dato que solo es relevante para su titular (Ej. Dirección,
teléfono, correo electrónico, fotografías, videos, datos relacionados con su
estilo de vida.)

 Datos sensibles: Categoría especial de datos personales.

 Categorías especiales de datos

 Datos sensibles

Aquellos que afectan la intimidad de la personas o cuyo

uso indebido puede generar discriminación. (Origen
racial o étnico, orientación política, convicciones
filosóficas o religiosas, pertenencia a sindicatos u
organizaciones sociales o de derechos humanos, datos
de salud, vida sexual y biométricos).

11/09/2013 11
 Categorías especiales de datos

 Datos sensibles: (Excepciones a la prohibición)

 Autorización explicita del titular

 Salvaguarda de interés vital del titular
 Actividades legítimas por fundaciones, ONG,
asociación u organismo sin ánimo de lucro
 Reconocimiento , ejercicio o defensa de un derecho en
un proceso judicial
 Finalidad histórica, estadística o científica (anonimizar)

11/09/2013 12
 Categorías especiales de datos
 Datos personales de menores

Se proscribe el tratamiento de datos personales de menores de edad

salvo aquellos datos que sean de naturaleza pública.

La Corte Constitucional precisó que tal prohibición debe interpretarse

en el sentido de que los datos personales de los menores de 18
años, pueden ser tratados, siempre y cuando no se ponga en riesgo
la prevalencia de sus derechos fundamentales e inequívocamente
responda a la realización del principio de su interés superior.

11/09/2013 13
 SUJETOS DEL TRÁTAMIENTO DE DATOS PERSONALES

TITULAR RESPONSABLE ENCARGADO

DATOS PERSONALES

Persona natural cuyos Persona natural o Persona natural o

datos personales son jurídica, pública o jurídica, pública o
objeto del tratamiento privada que privada que realice
decide sobre la el tratamiento de
base de datos y/o datos personales por
tratamiento cuenta del
Responsable
 Derechos de los titulares

• Conocer, actualizar y rectificar sus datos personales

frente a Responsables y Encargados
• Solicitar prueba de la autorización al Responsable
• Ser informado respecto del uso de los datos
• Presentar quejas ante la SIC
• Revocar la autorización y/o solicitar la supresión del
dato (no procede si el titular tiene el deber legal o
contractual de permanecer en la base de datos), y
• Acceder en forma gratuita a sus datos personales

11/09/2013 15
 Autorización del titular (1)

• Debe ser previa e informada (no tácita)

• Puede ser obtenida por cualquier medio que permita su
consulta posterior
• No es necesaria en los siguientes casos:
- Cuando sea requerida por entidad pública en
ejercicio de sus funciones
- Se trate de datos de naturaleza pública
- En casos de urgencia médica o sanitaria (si no es
urgencia, debe obtenerse la autorización)
- Para fines históricos, estadísticos o científicos
- Datos relacionados con el Registro Civil

11/09/2013 16
 Delegatura para la Protección de Datos Personales

Autorización del titular (2)

El Responsable debe informar al titular:

 El tratamiento que se da a los datos personales y la

finalidad.

 El carácter facultativo de respuestas cuando hay datos

sensibles o de menores

 Los derechos que le asisten al titular

 La identificación, dirección física o electrónica y teléfono

del Responsable del tratamiento de datos

11/09/2013 17
 Delegatura para la Protección de Datos Personales

Autorización del titular (3)

Modos de obtener la autorización

(Decreto 1377 de 2013)

Por cualquier medio que permita su consulta posterior:

 Por escrito.
 De forma oral.
 Mediante conductas inequívocas del titular que permitan
concluir de manera razonable que el titular otorgo
autorización.

11/09/2013 18
 Delegatura para la Protección de Datos Personales

Autorización del titular (4)

Bases de datos conformadas antes de la expedición
de la Ley 1581 de 2012. (Decreto 1377 de 2013)

Mecanismo principal:
Relación recurrente Solicitar autorización mediante mecanismos eficientes
de comunicación que el responsable o encargado utiliza en su interacción con el
titular.

Mecanismo excepcional:
Carga desproporcionada Implementar mecanismo alternos (diarios de
amplia circulación, diarios locales, pagina de internet etc)

¿Cuando hay carga desproporcionada?

 Costo excesivo que comprometa estabilidad financiera, la realización de

actividades propios del negocio o viabilidad de su presupuesto
 No hay datos de contacto o están desactualizados, incorrectos, incompletos o
inexactos

11/09/2013 19
 Delegatura para la Protección de Datos Personales

Autorización del titular (4)

Bases de datos conformadas antes de la expedición
de la Ley 1581 de 2012. (Decreto 1377 de 2013)

Implementación de mecanismos (principal o excepcional)

30 días
hábiles

Titular no contacta al Responsable o Encargado

Se puede continuar con el tratamiento para la finalidad o

finalidades establecidas en la PP

EL TITULAR PUEDE, EN CUALQUIER MOMENTO EJERCER SU

DERECHO DE HÁBEAS DATA Y SOLICITAR ELIMINACIÓN

11/09/2013 20
 Delegatura para la Protección de Datos Personales

Deberes de los Responsables del

Tratamiento
• Autorización del titular: Debe solicitarla y conservarla e
informar al titular la finalidad de la recolección y los
derechos que le asisten.

• Calidad de la información: Debe garantizar que la

información sea veraz, completa, exacta, actualizada,
comprobable y comprensible, actualizar la información
comunicando al encargado las novedades y adoptar
medidas para que la misma se mantenga actualizada.
Adicionalmente debe rectificar la información incorrecta y
comunicar al encargado e indicarle cuando la información
este en discusión por parte de su titular.

11/09/2013 21
 Delegatura para la Protección de Datos Personales

Deberes de los Responsables del

Tratamiento (II)
• Seguridad de la información: Debe impedir la
adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento, exigir al encargado el respeto a las
condiciones de seguridad y privacidad, adoptar un manual
interno de políticas y procedimientos e informar a la
autoridad cuando se presenten violaciones a los códigos de
seguridad que generen riesgos en la administración de la
información.
• Tratamiento: Debe suministrar al encargado únicamente
datos cuyo tratamiento esté previamente autorizado e
informar, a solicitud del titular, sobre el uso dado a su
información.
• Adicionalmente debe garantizar al titular, en todo tiempo, el
pleno y efectivo ejercicio de su derecho de hábeas data y
tramitar las consultas y reclamos presentados, en los
términos señalados en la ley.
11/09/2013 22
 Delegatura para la Protección de Datos Personales

Deberes de los Encargados del

Tratamiento
• Seguridad de la información: Debe impedir la adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento,
adoptar un manual interno de políticas y procedimientos e
informar a la autoridad cuando se presenten violaciones a los
códigos de seguridad que generen riesgos en la
administración de la información.

• Calidad de la información: Debe realizar oportunamente la

actualización, rectificación o supresión de los datos erróneos,
actualizar la información reportada por los responsables
dentro de los 5 días hábiles contados a partir de su recibo,
registrar en la base las leyendas de «reclamo en trámite» e
«información en discusión judicial» y abstenerse de circular
información controvertida y cuyo bloqueo haya sido ordenado
por la Superintendencia de Industria y Comercio.

11/09/2013 23
 Delegatura para la Protección de Datos Personales

Deberes de los Encargados del

Tratamiento (II)

• Debe permitir el acceso a la información únicamente a

las personas que puedan tener acceso a ella, en los
términos señalados en la ley.

• Debe garantizar al titular, en todo tiempo, el pleno y

efectivo ejercicio de su derecho de hábeas data y
tramitar las consultas y reclamos presentados, en los
términos señalados en la ley.

11/09/2013 24
 Delegatura para la Protección de Datos Personales

Procedimientos

• Se establecen los mismos procedimientos

previstos en la Ley 1266 de 2008: Consultas y
reclamos.
• Se permite definir términos inferiores para las
consultas en leyes o reglamentos, atendiendo la
naturaleza del dato.
• Se conserva el requisito de procedibilidad
para elevar queja ante la SIC.

11/09/2013 25
 2. Delegatura para la Protección
de Datos Personales

11/09/2013 26
 Delegatura para la Protección de Datos Personales

Delegatura para la Protección de Datos

Personales

• Creación: Decreto 4886 de 2011 (Reestructuración)

• Estructura:
- Despacho Delegado
- Dirección (1ª. Instancia)

• Grupos internos de trabajo:

- De Hábeas Data
- De Investigaciones Administrativas

11/09/2013 27
 Delegatura para la Protección de Datos Personales

Funciones de la S.F.C
Ley 1581 de 2012:

• Adelantar investigaciones de oficio o a petición de parte, impartir

órdenes de acceso, rectificación, actualización y/o supresión de
datos.
• Disponer el bloqueo temporal de datos por riesgo de violación de
derechos fundamentales.
• Promover y divulgar derechos de los titulares.
• Impartir instrucciones.
• Proferir declaraciones de conformidad sobre transferencias
internacionales.
• Administrar el RNBD.
• Requerir colaboración de entidades internacionales.

11/09/2013 28
 Delegatura para la Protección de Datos Personales

Sanciones

• Multas de carácter personal e institucional

hasta por 2000 SMLMV.
• Suspensión de actividades relacionadas con el
tratamiento hasta por 6 meses. En acto de cierre
se indicarán los correctivos.
• Cierre temporal de las operaciones si no se
adoptan los correctivos.
• Cierre inmediato y definitivo de la operación que
involucre el tratamiento de datos sensibles.

11/09/2013 29
 Delegatura para la Protección de Datos Personales

Retos de la vigilancia
• Universo de vigilados – indeterminado
• Mecanismos de priorización
 Modelo de supervisión inteligente
• Registro Nacional de Bases de Datos – RNBD:
 Directorio público de las bases de datos
sujetas a tratamiento
 Administrado por la SIC
 Permitirá mejorar el conocimiento sobre las bases de datos
del país (flujo y tipo de información, naturaleza, medidas
de seguridad, etc.)
 Información mínima debe ser definida por decreto.

11/09/2013 30
 Delegatura para la Protección de Datos Personales

Registro Nacional de Bases de Datos

• Directorio público de las bases de datos sujetas a

Tratamiento que operan en el país

• Permitirá conocer:
- Realidad de las bases de datos del país
- Flujo y tipo de datos
- Quién o quiénes adelantan su tratamiento
- Finalidad y
- Políticas de tratamiento

• Sujeto a reglamentación

11/09/2013 31
 Delegatura para la Protección de Datos Personales

Transferencia Internacional
Se prohíbe la transferencia de datos de cualquier tipo a países que no
proporcionen niveles adecuados de protección de datos, es decir,
cuando no cumplan los estándares fijados por la Superintendencia de
Industria y Comercio
Excepciones:
– Si existe autorización expresa e inequívoca del titular para la
transferencia
– Por razones de salud o higiene pública
– Transferencias bancarias o bursátiles conforme a la legislación
aplicable
– Transferencias acordadas en el marco de tratados
internacionales
– Transferencias necesarias para la ejecución de un contrato o de
medidas precontractuales, siempre que lo autorice el titular
– Transferencias legalmente exigidas para la salvaguardia del
interés público, o para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial.

11/09/2013 32
 Delegatura para la Protección de Datos Personales

Normas corporativas vinculantes

• Corresponde al Gobierno Nacional expedir la

reglamentación sobre Normas Corporativas Vinculantes
para la certificación de buenas practicas en protección de
datos personales y su transferencia a terceros países

11/09/2013 33
 Gracias

11/09/2013 34