Reflexiones y Desafíos PROTECCION DE DATOS PERSONALES
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Marco Jurídico
• Artículo 15 de la Constitución Política • Ley Estatutaria 1581 de 2012
Régimen de Protección de Datos Personales en Colombia
– Decreto 1377 de 2013 – Decreto 886 de 2014 – Proyecto de Circular de la SIC
• Sentencia C – 748 de 2011 • Jurisprudencia de la Corte Constitucional desde 1992 www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Régimen de sanciones
Multas hasta 2000 SMMVL ($1.179 millones) personal e institucional
Suspensión o Cierre de BD privadas
Cierre inmediato y definitivo: datos sensible
Criterios de graduación de la sanción
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Da帽os
Fuga de Informaci贸n Personal
Lesi贸n a la Imagen Corporativa
Responsabilidad de los Administradores. Ley 222 de 1995
www.iustic.co Propiedad intelectual de Velasco & Calle D麓Aleman. Abogados. Prohibido todo uso no autorizado
Ley 1273 de 2009
Ley de Delitos Informáticos: el bien jurídico tutelado es protección de la información y de los datos
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Artículo 269 F Violación de datos personales. El que, sin estar
facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Antecedentes – Multas Impuestas por mal tratamiento de Datos Personales • 544 multas por infracciones a la Ley 1266 de 2008 sobre Habeas Data Financiero
• Multas por valor 4.700 millones de pesos Ley 1266 • Multas a otros actores 5.793 millones www.iustic.co
123 millones
348 M Multa por Datos en Internet por $ 96.000.000 Multa por 719 millones
348 millones
42 personas condenadas por cometer el Delito de Violación de Datos Personales en Colombia Fuente. Medios de Comunicación
Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
¿QUÉ HEMOS HECHO? CONSULTORIA EN PROTECCION DE DATOS PERSONALES
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Objetivo Dotar de seguridad jurídica a la organización a través de la entrega y adecuación de un conjunto de instrumentos normativos que permita a la sociedad matriz cumplir de forma general con el régimen de protección de datos personales vigente en Colombia, alineado con los estándares europeos que han sido adoptados por la Jurisprudencia de la Corte Constitucional desde 1992. Instrumentos normativos que contribuyan a mitigar los riesgos en materia de Protección de Datos Personales y Aspectos Laborales en Entornos Tecnológicos; áreas conexas e inescindibles entre sí. www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Objetivos Específicos Fase I. Desarrollar los instrumentos normativos para la matriz GRUPO ORBIS objeto de esta consultoría, que le permitan adecuarse a la legislación nacional en materia de protección de datos, que contribuyan a mitigar los riesgos alrededor del régimen de protección de datos personales previsto en la Ley 1581 de 2012. Validar con el área jurídica los instrumentos normativos que determinan el marco general de cumplimiento del régimen de protección de datos personales. www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Objetivos Específicos Fase II. Desarrollar el marco de cumplimiento general para los procesos y/o bases de datos que se impactan de manera importante con la vigencia del actual régimen de protección de datos en Colombia, en cada empresa del grupo.
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Enfoque
Derecho
Derecho de las Tecnologías de Información y las Comunicaciones O Derecho Informático
Informática
Seguridad de la Información
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
ACTIVIDADES FASE I
Sensibilizaci贸n
Talleres Situacionales
Entrega y validaci贸n Instrumentos Normativos
Preparaci贸n
www.iustic.co Propiedad intelectual de Velasco & Calle D麓Aleman. Abogados. Prohibido todo uso no autorizado
BASE DATOS CRITICA
Fase II
SUJETOS
PROCESO PROBLEMAS ENTREGABLES
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Equipo Líder Por ORBIS
- Hilda Arango
Por Velasco & Calle D´Aleman - Sol Beatriz Calle D´Aleman - Arean Hernando Velasco Melo
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Metodología Creación de los Instrumentos Normativos
•Políticas •Normas •Procedimientos e Instructivos Validación de los Instrumentos Normativos
•Dueños de los procesos
Aprobación de los Instrumentos Normativos Propuestos •Nivel Directivo
Entrega de los Instrumentos
• Acta de entrega
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Régimen de Protección de Datos Personales
Articulo 25 de la Ley 1581 de 2012 Del Registro Nacional de Bases de Datos Personales
Es el Directorio Público de las Bases de Datos que tratan datos personales, salvo las exceptuadas • Sistema Inteligente de Protección de Datos Personales a cargo de la SIC Obligación de Responsable y Encargados de aportar las Políticas de Protección de Datos Personales
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Régimen de Protección de Datos Personales
Información MINIMA del Registro Nacional de Bases de Datos
Datos de identificación, ubicación y contacto del Responsable y/o del Encargado del Tratamiento Canales para el ejercicio del Habeas Data Nombre y Finalidad de la Base de Datos Forma de Tratamiento Política de Tratamiento * La SIC podrá exigir información adicional para el Registro
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Registro Nacional de Base de Datos
Canales para Ejercer los Derechos
Es el proceso logístico para recibir Peticiones, Quejas, Reclamos y dar Respuestas al Ejercicio del Habeas Data, dispuesto por el Responsable y en Encargado del tratamiento de los Datos. Debe estar disponible para los Titulares de los Datos Personales Debe permitir ejercer el Derecho a Conocer, Actualizar, Rectificar, Oponerse y Cancelar los datos personales, en los términos de Ley.
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Registro Nacional de Base de Datos
Nombre y Finalidad de la Base de Datos
El Responsable, respecto de cada base de datos a inscribir, informará: Nombre de la Base de Datos Finalidad(es)
• ¿Como vamos a gestionar este inventario? www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Registro Nacional de Base de Datos
Formas de Tratamiento de los Datos Personales
Tratamiento Automatizado Audiovisual Magnetofónico Informático
Tratamiento Manual Tratamiento Manual y Automatizado
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Registro Nacional de Base de Datos
Política de Tratamiento de Datos Personales
Deposito de la Política de Protección de Datos Personales Contenido Mínimo Nombre y datos de contacto del Responsable Tratamiento al cual serán sometidos los datos y la finalidad, cuando no hayan sido informadas mediante aviso de privacidad Derechos del Titular Área gestora del Habeas Data Procedimiento para el Habeas Data Fecha de entrada en vigencia de la Ley y Período de vigencia de la Base de Datos
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Registro Nacional de Base de Datos
Plazo de Inscripción y Condiciones del Registro y Actualización
• Un (1) año desde la habilitación del Registro para las bases de datos existentes
• Dos (2) meses después de la creación de una nueva Base de Datos • El procedimiento de registro esta por definirse por la SIC • Deberá actualizar en el Registro los cambios sustanciales que sufra la información comunicada
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Información Almacenada en la Base de Datos
Descripción de los Tipos de Datos Personales
Agrupados por Categorías y Subcategorías
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Medidas de Seguridad de la información
Descripción de los controles implementados por el Responsable • De acuerdo a las preguntas dispuestas en el Registro Nacional de Bases de Datos
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Procedencia de los Datos Personales
Entregados directamente por el Titular? Entregados por Terceros? Existe autorización para el tratamiento? Existe causal de exoneración?
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Identificación del destinatario como Responsable del Tratamiento
Transferencia Internacional de País de ubicación del Responsable Datos Personales
www.iustic.co
La operación esta cobijada o no por una Declaración de Conformidad por parte de la SIC o por una causal de excepción en los términos del artículo 26 de la Ley 1581/2012
Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Trasmisión Internacional de Datos Personales
Identificación del destinatario como Encargado del del Tratamiento País de ubicación del Encargado Especificar si existe un Contrato de Trasmisión de Datos o si existe una Declaración de Conformidad por parte de la SIC
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Cesión de la Base de Datos
• Identificación del Cesionario de la Base de Datos • El cesionario adquiere la condición de Responsable, desde el momento en que se perfecciona la Cesión
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
Reporte de Novedades
• Finalizado la inscripción de la Base de Datos en el Registro Nacional de Base de Datos, se debe: – Reporte consolidado de las quejas y reclamos presentados durante el semestre – Los incidentes de seguridad deben reportarse dentro de las 24 horas siguientes al momento en que se detecten
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Proyecto de Circular sobre el Registro Nacional de Base de Datos
De acuerdo con el Nit de su empresa, identifique el perĂodo probable en que debe cumplir con el Registro
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Mínimos de un Programa de Responsabilidad Demostrada
¿Existe una Línea Base de Protección de Datos Personales? ¿Es Solida? Componentes Generales a Desarrollar desarrollar 1. 2. 3. 4. 5. 6. 7.
Estrategia y Gobierno de la Privacidad. Art 13 y 27 - Decreto 1377/2013 Capacitación en Privacidad. Numeral 2 Art 27 Decreto 1377/2013 Inventario de las Bases de Datos Personales. Art 5 – Decreto 886/2014 Privacidad en la Operación de la empresa. Art 26 Decreto 1377/2013 Cumplimiento de los Procedimientos de Habeas Data. Art. 27 Decreto 1377/2013 Gestión de Incidentes de Seguridad que comprometan datos personales. Literal n) Art. 17 Ley 1581/2012 Respuesta a requerimientos de autoridades. Art. 19 Ley 1581/2012
www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado
Datos de Contacto
Velasco & Calle D´Aleman. Abogados Tel (574) 3523180 3522540 Cra 34 No. 11 B –70 Medellín
http://velascocalle.co/blog/ category/ebooks/ Sol Beatriz Calle D´Aleman solcalle@iustic.co
www.iustic.co www.iustic.co Propiedad intelectual de Velasco & Calle D´Aleman. Abogados. Prohibido todo uso no autorizado