Iii boletín jurídico

Page 1

Boletín Jurídico Año 1, número 3 - Junio de 2015 - circulación trimestral

RÉGIMEN GENERAL DE PROTECCIÓN DE DATOS PERSONALES (HABEAS DATA) Apreciados amigos del sector funerario, Esta tercera edición del BOLETÍN JURIDICO REMANSO se ha dedicado al RÉGIMEN GENERAL DE PROTECCIÓN DE DATOS PERSONALES (HABEAS DATA), tema que fue abordado en seminarios regionales en el año 2013 y que requiere de su conocimiento y cumplimiento cabal. Se trata de la Ley Estatutaria No. 1266 del 31 de diciembre de 2008 "POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIÓN CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES Y SE DICTAN OTRAS DISPOSICIONES"

.ccom epik

: fre

en mag Im

Nuestro interés es contribuir a la profesionalización del sector funerario, que se logra no sólo en la operatividad y el “hacer bien” cada uno de los procesos y procedimientos que conforman la prestación del servicio, sino en el cumplimiento de las normas y disposiciones que le aplican. Este material lo puede descargar de nuestra página web www.corporacionremanso.com.co como material de estudio y consulta. Su cumplimiento le evitará sanciones. Lo invitamos a interactuar con nosotros, sus comentarios, sugerencias y consultas son de gran utilidad para lograr este propósito. Bendiciones, María del Pilar Rojas Bustamante Directora Ejecutiva

Vea en este número:

¿A quiénes es aplicable la ley? Deberes de los responsables Decálogo de Obligaciones

¿QUÉ ES EL HABEAS DATA? Es el derecho fundamental que tienen las personas a conocer, actualizar, rectificar, corregir, excluir o incluir sus datos personales en bases de datos o archivos; a que estos no sean recopilados y tratados sin autorización libre, previa e informada y; que el tratamiento se haga conforme a principios de administración y protección de datos personales.

Elementos de la definición: 1.

Derecho a que los datos personales no sean tratados sin autorización.

2.

Derecho a conocer – actualizar – rectificar – corregir – excluir – incluir datos personales de o en las bases de datos.

3.

Derecho a que los datos personales sean tratados con principios como la seguridad, confidencialidad, veracidad, legalidad, etc.

La protección general de datos personales o habeas data es reglamentada por la Ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.

un dato personal s e é u ? ¿Q

Dato personal es cualquier información asociada (o que pueda asociarse) a una o varias personas naturales determinadas o determinables. La persona a la que se asocia el dato, se llama titular. Los datos personales protegidos por la Ley de habeas data son solo aquellos relacionados con las personas naturales. Los datos de las personas jurídicas (sociedades, asociaciones, etc.) se protegen como datos financieros, crediticios comerciales o de servicios, por una norma distinta: la ley 1266 de 2008, que regula este tipo de datos especiales de personas naturales y jurídicas.

2

Ejemplos: a.

El nombre: Es un dato personal, porque se asocia a una persona natural determinada.

b.

Número telefónico o correo electrónico: es un dato personal, cuando sea de personas naturales (el número 1110000 de Marco Aurelio).

c.

Dirección o domicilio: es un dato personal porque asocia a una persona determinada con el lugar de su residencia.

d.

La edad: es un dato personal, cuando se recopila el dato de la edad de una persona específica.

e.

El parentesco: es un dato personal porque refleja la relación existente entre personas naturales determinadas.

Dentro de los datos personales, existe una categoría especial de información, denominados

DATOS SENSIBLES Estos son aquellos que:

1. Afectan la intimidad del titular. 2. Los que pueden generar la discrimina-

ción del titular, tales como el origen racial o étnico, la orientación política, la pertenencia a sindicatos u organizaciones sociales o defensoras de derechos humanos, las creencias religiosas, entre otros.

Ejemplos de datos personales sensibles: a.

Cartas o correspondencia privada, fotografías íntimas.

b.

Listas y nombres de afiliados a partidos políticos.

c. d.

Historia clínica, epicrisis. Huellas digitales (dato biométrico).

¿QUÉ OPERACIONES SE CONSIDERAN TRATAMIENTO DE DATOS? Todas las operaciones sobre datos personales se consideran tratamiento de los mismos; desde la simple recolección, compilación, el almacenamiento, el uso, la circulación, el registro, la supresión. Incluso si los datos son solamente recolectados y almacenados, y si estos no van a ser cedidos o transferidos a terceras personas, también se considera tratamiento de datos personales.

3. Los relativos a la salud, a la vida sexual,

o los datos biométricos de la persona.

Dirección: Calle Uribe Uribe No. 51-38 Tel: (4) 5124218 – 018000420420 Fax: (4) 5124711 Celular: 3113184349 -3104246003 info@funerarialaesperanza.com www.funerarialaesperanza.com

¿QUÉ ES UNA BASE DE DATOS?

www.serexel.com Bogotá D.C:

Supía - Caldas: Cra 9 # 35-48 Móvil: (57) 312 804 2029

Es un conjunto de datos personales que son objeto de tratamiento. En la sentencia C-748 de 2011, la Corte Constitucional definió que para que se configure una base de datos, no es necesario que la misma sea mecanizada ni electrónica, tampoco que sea completamente ordenada. Basta con que se trate de un conjunto de datos personales que son objeto de tratamiento (recopilación, almacenamiento, etc.), para que se configure la base de datos. En este sentido, todas las empresas del sector funerario, tanto por los datos personales que manejan de sus empleados, como por aquellos que manejan de sus clientes, tienen bases de datos, independientemente de que sean automatizadas o manuales, organizadas o pendientes de organizar.

IV CONGRESO

INTERNACIONAL

del Duelo Medellín, Hotel Dann Carlton 11 y 12 de junio de

2015

ES APLICABLE LA L S E N É I U EY? ¿A Q

Las disposiciones de la Ley 1581 de 2012 y sus decretos reglamentarios, aplican y son obligatorios para las bases de datos que contengan datos personales objeto de tratamiento, sean de entidades públicas o privadas. Se llama responsables del tratamiento a las personas naturales o jurídicas, que por sí mismas deciden sobre una base de datos y el tratamiento de los datos personales contenidos en ella. Se llama encargado del tratamiento a las personas que, delegadas o por convenio con los responsables del tratamiento, administran la base de datos por cuenta de aquellos. Si el responsable no delega el tratamiento, tiene ambas calidades. Las empresas funerarias, por definición propia de su actividad, son responsables del tratamiento de datos personales, y por esto deben cumplir los preceptos generales de la protección de datos. NO entran dentro del marco de esta ley las bases de datos:

4 Imagen: freepik.com

• De uso estrictamente personal o doméstico. • De seguridad y defensa nacional. • De inteligencia y contrainteligencia. • De información periodística. • Reguladas por la ley 1266 de 2008 (de información financiera y crediticia). • Reguladas por la ley 79 de 1993 (ley de censos de población y vivienda).

AUTORIZACIÓN

DEBER DE INFORMACIÓN - AVISO DE PRIVACIDAD

DEL TITULAR

Todo tratamiento de datos personales, desde la recolección hasta la supresión, debe estar precedido de una autorización inicial que soporte todas esas operaciones. La autorización es el fundamento de cualquier tratamiento.

La autorización, que el responsable debe obtener del titular de los datos, debe ser: a. Libre: La autorización responde a un acto voluntario del titular. No puede existir coacción, constreñimiento ni fuerza. Esto también descarta el engaño o dolo, que se considera vicio del consentimiento. b. Informada: El titular debe saber qué está autorizando, es decir, qué datos personales van a ser recolectados y tratados y para qué finalidades. c. Previa: La autorización no puede ser posterior al tratamiento de los datos. Antes de su recolección o cualquier otro tratamiento, debe ser otorgada la autorización. En orden temporal, primero autoriza el titular para que sus datos sean tratados, y luego estos pueden ser objeto de las operaciones del responsable. d. Expresa: El silencio no es válido como manifestación del consentimiento. La autorización del titular debe darse expresamente, sea en forma verbal o escrita, y quedar prueba de ello.

La autorización no es necesaria cuando se trate de: a.

Información requerida por entidad pública o autoridad judicial.

b.

Datos de naturaleza pública.

c.

Casos de urgencia médica o sanitaria.

d.

Tratamiento autorizado por ley para fines estadísticos.

e.

Registro civil de las personas.

El responsable debe conservar prueba de la autorización otorgada por el titular.

El responsable del tratamiento, a más tardar al momento de recolección de los datos, y previo a la autorización, debe informarle al titular, de manera clara y expresa:

a.

A qué operaciones o tratamiento serán sometidos sus datos.

b.

Cuál es la finalidad del tratamiento de sus datos

c.

El derecho que le asiste de responder o no a las preguntas sobre datos sensibles o de niños, niñas o adolescentes (todo menor de 18 años)

d.

Los derechos que tiene como titular.

e.

Nombre o razón social del responsable y sus datos de contacto.

f.

La existencia de las políticas de tratamiento de datos personales y la forma de acceder a las mismas.

Este deber de información se cumple con un aviso de privacidad que llene los requisitos anteriores, y debe darse en forma verbal o escrita, dejando prueba del aviso de privacidad (en mensaje de datos o en documento físico).

CAS DE TRATAM POLÍTI TOS PERSON IENTO ALES DE DA

Los responsables del tratamiento deberán contar con unas políticas de tratamiento de la información o políticas de privacidad, que cuenten, mínimo, con la siguiente información: 1. Identificación básica del responsable (Nombre o razón social, domicilio, dirección, correo electrónico y teléfono). 2. Tipos de tratamiento que se dará a los datos. 3. Finalidades del tratamiento. 4. Derechos de los titulares. 5. Designación de la persona o el área encargada de la protección de datos personales. 6. Procedimientos para el ejercicio de los derechos de los titulares (consulta y reclamo). 7. Fecha de entrada en vigencia de las políticas. 8. Período de vigencia de la base de datos. 5 5

PROCEDIMIENTOS PARA EL EJERCICIO DE DERECHOS. • Mediante el procedimiento de consulta los titulares o sus causahabientes pueden ejercer el derecho a conocer los datos personales que de ellos reposan en bases de datos. El responsable deberá suministrar al consultante toda la información contenida en el registro individual de la persona. La consulta debe ser atendida en el término de diez (10) días hábiles desde el momento de su radicación, y solo podrá extenderse por cinco (5) días hábiles más, justificando la necesidad. El titular podrá consultar sus datos, en forma gratuita, una (1) vez por cada mes calendario. Las consultas adicionales en esos períodos, podrán ser

cobradas solo hasta la concurrencia soporten los hechos. del costo de la emisión de la información. Si el reclamo no cumple estos requisitos, se concederá un término de cinco • Mediante el procedimiento de (5) días para subsanar los requisitos reclamo los titulares o sus causaha- faltantes. bientes pueden ejercer los derechos a actualizar, corregir, rectificar, excluir o El reclamo debe ser atendido en el incluir datos de o en las bases de término de quince (15) días hábiles datos. También es el medio que desde el día siguiente a su radicación, tienen los titulares para advertir cual- y solo podrá extenderse por ocho (8) quier incumplimiento a los deberes días hábiles más, justificando la nececontenidos en la Ley 1581 de 2012. sidad. El reclamo se formula al responsable o encargado, con los siguientes datos: 1. Identificación del titular; 2. Descripción de los hechos que dan lugar al reclamo; 3. Dirección; 4. Documentos que se quieran hacer valer o que

-¿A QUIÉNES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN? El responsable puede (y debe, cuando sea requerido) suministrar los datos personales a:

a.

Los titulares, sus representantes legales o sus causahabientes.

b.

Las entidades públicas o administrativas en ejercicio de sus funciones o por orden judicial.

c.

Los terceros autorizados por el titular o por la ley.

normativa. Las normas citadas o pertinentes según la materia desarrollada en esta entrega, son:

A.

Nota: El titular o sus causahabientes solo podrán formular queja ante la Superintendencia e Industria y Comercio cuando ya haya agotado los trámites de consulta o reclamo correspondientes, ante el responsable o encargado.

DERECHOS DE LOS TITULARES 1. Conocer, actualizar, rectificar, corregir, excluir o incluir sus datos personales frente a los responsables o encargados. 2. Solicitar prueba de la autorización otorgada al responsable. 3. Ser informado sobre el tratamiento dado a sus datos personales y las finalidades del mismo. 4. Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la ley de habeas data. 5. Revocar la autorización cuando no tenga el deber legal o contractual de permanecer en la base de datos. 6. Acceder en forma gratuita a los datos personales suyos que hayan sido objeto de tratamiento.

Ley 1581 de 2012 -Por la cual se dictan disposiciones generales para la protección de datos personales-. • Decreto 1377 de 2013 –Por el cual se reglamenta parcialmente la Ley 1581 de 2012-. • Decreto 886 de 2014 -Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Regis tro Nacional de Bases de Datos-

B.

Ley 1266 de 2008 –por la cual se dictan las disposiciones sobre habeas data financiero, crediticio, comercial y de servicios-.

Carrera 51 D No. 61-20 Tel (4) 5755050 - (4) 2317300 fax (4) 2317951 celular 3104256182 - 3108289284 fsanvicente@funerariasanvicente.com

La Luz Asistencia integral Calle 33A # 13-31 Teusaquillo Tel 3202131 FAX 2873152

DEBERES DE LOS RESPONSABLES – DECÁLOGO DE OBLIGACIONES. 1. Garantizar al titular el ejercicio del derecho de habeas data. 2. Obtener la autorización del titular y conservar prueba de ella. 3. Conservar la información en condiciones de seguridad. 4. Garantizar que la información que entrega al encargado sea veraz, completa, actualizada y comprensible. 5. Actualizar la información con todas sus novedades. 6. Rectificar la información cuando sea incorrecta. 7. Suministrar al encargado y a terceras personas, únicamente datos para los que cuente con autorización para dichas finalidades. 8. Tramitar oportunamente las consultas y reclamos. 9. Adoptar un manual interno de políticas y procedimientos de protección de datos personales. 10. Informar al titular sobre las finalidades del tratamiento. 11. Informar al titular sobre los tipos de tratamiento. 12. Cumplir las instrucciones impartidas por la

Superintendencia de Industria y Comercio. 13. Registrar en su base de datos el texto “reclamo en trámite”, cuando este se inicie. 14. Registrar en su base de datos el texto “información en discusión judicial”, cuando sea notificado por la autoridad judicial. 15. Informar sobre la facultad que le asiste de responder o no las preguntas sobre datos sensibles o de niños, niñas o adolescentes. 16. Informar al titular los derechos que le asisten. 17. Informar al titular la información de contacto. 18. Brindar al titular información de fácil lectura, completa, sin barreras técnicas. 19. Designar una persona o área que asuma la función de protección de datos personales. 20. Suministrar los datos únicamente a las personas legitimadas por ley o por la autorización del titular. 21. Notificar al titular los cambios sustanciales en las políticas de tratamiento de la información. 22. Inscribir la base de datos en el Registro Nacional de Bases de Datos.

¿QUÉ ES EL REGISTRO NACIONAL DE BASES DE DATOS?

El empresario que incumple con la Ley 1581 de 2012 se ve expuesto a sanciones desde multas hasta la clausura definitiva Es el directorio público de las bases de datos que de sus actividades de prestación de servicios funerarios y operan en el país. Es administrado por la Superinten- comercialización de previsión exequial, que requieren el tratadencia de Industria y Comercio, y en él deben inscri- miento de datos personales. birse todas las bases de datos. Es obligación de todos los responsables registrar las bases de datos de su dominio, dentro del plazo de un NOTAS: año contado a partir de la creación del registro1. ____________________ 1. A la fecha de expedición del Boletín Jurídico Nº3, el Registro Nacional de Bases de Datos no ha sido habilitado por la Superintendencia de Industria y Comercio.

SANCIONES El empresario i ffunerario i d debe b ser consciente i t de la importancia del derecho fundamental de habeas data, y del cumplimiento de las normas que lo regulan. Esto se ve reforzado por las sanciones que puede imponer la Superintendencia de Industria y Comercio por el incumplimiento de la norma:

1. Multas hasta por dos mil (2000) salarios mínimos legales mensuales vigentes (SMLMV) 2. Suspensión de las actividades relacionadas con el tratamiento de los datos, hasta por seis (6) meses.

3. Cierre temporal de las operaciones relacionadas

con el tratamiento de los datos, una vez transcurrido el término de seis (6) meses de suspensión.

4. Cierre inmediato y definitivo de las operaciones que involucren el tratamiento de los datos.

• El tratamiento de datos sensibles requiere autorización expresa, adicional a la autorización general. • El titular puede revocar la autorización en todo momento, salvo deber legal u obligación contractual de permanecer en la base de datos. • Para que el titular no pueda revocar la autorización durante la vigencia de los contratos de previsión exequial u otros, debe adicionarse una cláusula que lo obligue a no revocar su autorización durante la vigencia contractual. • La Superintendencia de Industria y Comercio es la autoridad nacional de protección de datos personales. • Se excluyen del ámbito de aplicación de la ley, las bases de datos de uso exclusivamente personal o doméstico, entendidas como las que hacen parte del marco de la vida privada o familiar de quien tiene la base de datos. • La autorización debe obtenerse no solo de los contratantes nuevos, sino de todos los contratantes o personas titulares en los contratos de previsión exequial u otros, que previamente tuvieran relación con la empresa, y cuyos datos estén en la base de datos. • Los autorización para el tratamiento de los datos personales de los inscritos en los planes de previsión exequial, puede ser otorgada por el contratante, ya que estos contratos contienen una estipulación a favor de tercero (artículos 7 y 20 del Decreto 1377 de 2013).

7

7

PATROCINADORES

Corporación Nacional e Internacional de Funerarias, REMANSO Boletín Jurídico No. 3 Separata Revista Remanso Código ISSN 2357-5832

Inversiones

MonteSacro E X CE L E N C I A E X E Q U I A L

DIRECCIÓN GENERAL María del Pilar Rojas Bustamante dirección@corporacionremanso.com.co

JUNTA DIRECTIVA Luís Fernando Arango Madrid Juan Camilo Tavera Arcila Néstor Tabares Hernández Jaime Ceballos Ospina Jorge Iván Ospina Isaza Juan Manuel Herrera Muñoz Alberto Lorduy Tarón Luís Fernando Díaz Ortiz Pedro Nel López Forero Siervo Tulio Molano Bautista

ASESOR JURÍDICO Agustín Cuartas Villada consultor@agustincuartas.com (57) 321 645 1529

DISEÑO EDITORIAL Alejandra Ospina Urrego alejandraou@dandelionestudio.com Remanso, carrera 13A No. 34-55 oficina 304 Bogotá – Colombia www.corporacionremanso.com.co remanso@corporacionremanso.com.co

S.A.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.