CAPACITACIÓN DE PROTECCIÓN DE DATOS PERSONALES LEY 1581 DE 2012
OBJETO DE LA LEY 1581 “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.
MARCO CONSTITUCIONAL Artículo 15 de la constitución política “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.
REGULACIÓN LEGAL EN MATERIA DE HÁBEAS DATA CONSTITUCIÓN POLÍTICA DE COLOMBIA
ARTÍCULO 15 LEY 1266 DE 2008 HÁBEAS DATA DECRETO 1727 DE 2009
DECRETO 2952 DE 2010
LEY 1581 DE 2012 O LEY ESTATUTARIA PROTECCIÓN DE DATOS PERSONALES DECRETO LEY 1377 DE 2013 (REGLAMENTA LA 1581)
CLASIFICACIÓN DE LOS DATOS PERSONALES Existen 4 tipos de datos personales de acuerdo a la ley 1581:
1. DATO PUBLICO Calificado como tal en la ley. Dato que no es semiprivado, privado o sensible (Ej. datos relativos al estado civil de las personas, su profesión u oficio, su calidad de comerciante o servidor público y aquellos que pueden obtenerse sin reserva alguna).
2. DATO SEMI-PRIVADO Dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento interesa al titular y a cierto sector o grupo de personas o a la sociedad en general (Ej. datos financieros y crediticios).
CLASIFICACIÓN DE LOS DATOS PERSONALES 3. DATO PRIVADO Dato que solo es relevante para su titular (Ej. fotografías, videos, datos relacionados con su estilo de vida.)
4. DATO SENSIBLE Aquellos que afectan la intimidad de la personas o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones filosóficas o religiosas, afiliación a sindicatos u organizaciones sociales, políticas o de derechos humanos, datos relativos a la salud, orientación sexual y biométricos).
SUJETOS DEL TRATAMIENTO DE DATOS PERSONALES 2. RESPONSABLE 1. TITULAR
Persona natural o jurídica, pública o privada que decide sobre la base de datos y/o tratamiento de los datos. Es el responsable desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo, es el responsable durante toda la “vida” del dato.
DATOS PERSONALES
Persona natural cuyos datos personales son objeto del tratamiento
3. ENCARGADO
Persona natural o jurídica, pública o privada que realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.
Trata los datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica (contrato de prestación de servicios) que le vincula al responsable.
Finanzauto S.A. Es responsable del tratamiento de los datos de sus clientes, proveedores y empleados, por ello es importante que todos conozcamos los derechos y deberes relacionados con el tratamiento de los datos personales.
PRINCIPIOS DE LA LEY 1581
CONFIDENCIALIDAD
LEGALIDAD
FINALIDAD
LIBERTAD
VERACIDAD O CALIDAD
TRANSPARENCIA
ACCESO Y CIRCULACIÓN RESTRINGIDA
SEGURIDAD
FINALIDAD El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
LEGALIDAD Actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
CONFIDENCIALIDAD Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma, o en ausencia de mandato legal o judicial que releve el consentimiento.
VERACIDAD O CALIDAD La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error
LIBERTAD Sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
TRANSPARENCIA Debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
ACCESO Y CIRCULACIÓN RESTRINGIDA El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. … sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
SEGURIDAD La información se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
¿A CUALES DATOS NO SE APLICA LA LEY DE PROTECCIÓN DE DATOS PERSONALES? No aplica a bases de datos o archivos que contengan: Información de uso personal o doméstico. Información que tiene por finalidad la seguridad y defensa nacional
Información que tiene por finalidad de inteligencia y contrainteligencia.
Información que tiene por finalidad la prevención, detección, monitoreo y control del lavado de activos y financiación del terrorismo.
¿CUÁLES SON LOS DEBERES DE LOS RESPONSABLES Y/O ENCARGADOS DEL TRATAMIENTO DE LOS DATOS PERSONALES?
¿CUÁLES SON LOS FORMATOS DE PROTECCIÓN DE DATOS PERSONALES? Finanzauto cuenta con 2 formatos utilizados para la autorización de tratamiento de los datos personales: 1.-FM-GER-001 Autorización tratamiento de datos personales Para: Clientes
2.-FM-GER-001 Autorización tratamiento de datos personales en la esfera laboral. Para: Empleados
Estos formatos se encuentran publicados en la intranet corporativa Modulo Documentos – Formularios
MANUAL DE PROTECCIÓN DE DATOS
En la intranet Corporativa Modulo de “Documentos” – “Manuales” se encuentra publicado el Manual de protección de datos personales para conocimiento de todos.
¿CUÁLES SON LOS PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES? Finanzauto S.A. cuenta con 5 procedimientos para el tratamiento de datos personales, los cuales se encuentran publicados en la intranet corporativa modulo de “Procedimientos” y también en el modulo de “Documentos” – “Procedimientos generales”:
PR-GER-1.5.1 ACCESO A LOS DATOS PERSONALES PR-GER-1.5.2 TRATAMIENTO Y CONSERVACIÓN DE DATOS PERSONALES PR-GER-1.5.3 RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS
PR-GER-1.5.4 REVOCATORIA Y SUPRESIÓN DE DATOS PR-GER-1.5.5 ATENCIÓN A QUEJAS Y RECLAMOS DE PROTECCIÓN DE DATOS
ESQUEMA DEL PROCEDIMIENTO DE TRATAMIENTO DE DATOS
Inicio
El Oficial de protección de datos recibe una copia de la autorización de tratamiento de datos firmada por parte de solicitante.
Controlar la información de nuestras bases de datos estructuradas a través de medidas técnicas, humanas y administrativas.
Registrar en la base de datos asignando un número consecutivo a cada autorización
Vincular copia de autorización al número de crédito correspondiente, a fin de verificar que todos los créditos tengan autorización.
Realizar la verificación de las bases de datos, a fin de corroborar el cumplimiento de la finalidad comunicada inicialmente.
Almacenar las copias de las autorizaciones ya registradas, bajo las condiciones de seguridad necesarias para su posterior consulta.
Fin ¿Requiere actualización de información? no
si
Se valida si existe un cambio en la finalidad.
Ver procedimiento de actualización de Datos.
SANCIONES La Superintendencia de Industria y Comercio podrá imponer las siguientes sanciones: Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adopta. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
Gracias