RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES

ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC)

BOGOTÁ D.C., 30 DE AGOSTO DE 2017

DEFINICIONES

AUTORIZACIÓN

•Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales

BASE DE DATOS

•Conjunto organizado de datos personales que sea objeto de Tratamiento

DATO PERSONAL

•Cualquier información vinculada o que pueda asociarse a personas naturales

TITULAR

• Persona natural cuyos datos personales sean objeto de Tratamiento

DEFINICIONES

TRATAMIENTO

•Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

ENCARGADO DEL TRATAMIENTO

•Persona que realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

RESPONSABLE DEL TRATAMIENTO

•Persona quedecide sobre labase de datosy/o elTratamiento delos datos.

DATOS SENSIBLES

• Datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación

• Ejemplos: origen racial o étnico, orientación política, religión, salud.

• Todos los Datos de niños, niñas y adolescentes.

DERECHOS DE LOS TITULARES

DERECHOS DE LOS

TITULARES

Conocer, actualizar y rectificar sus datos personales.

Solicitar prueba de la autorización

otorgada.

Ser informado del uso que le ha dado

a sus datos personales.

Presentar ante la SIC quejas por infracciones.

Revocar la autorización y/o

solicitar la supresión del dato personal.

Acceder en forma gratuita a sus datos

personales que hayan sido objeto de Tratamiento.

AUTORIZACIÓN DEL TITULAR

• Para el Tratamiento es obligatorio obtener la autorización previa einformada del Titular.

• Al momento de solicitar al Titular la autorización, se deberá informarde manera clara y expresa lo siguiente:

✓ El Tratamiento al cual serán sometidos los datos personales y lafinalidad del mismo;

✓ El carácter facultativo de responder sobre datos sensibles o sobrelos datos de las niñas, niños y adolescentes;

✓ Los derechos que tiene el Titular;✓ La identificación, dirección física o electrónica y teléfono del

Responsable del Tratamiento.

: Es obligatorio conservar prueba de la autorización y entregar copiacuando el Titular la solicite.

CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL TITULAR

Información requerida por una entidad pública o

administrativa en ejercicio de sus funciones legales o

por orden judicial.

Datos de naturaleza pública.

Casos de urgencia médica o sanitaria.

Información autorizada por la ley para fines

históricos, estadísticos o científicos.

Datos relacionados con el Registro Civil de las

Personas.

¿A QUIÉN SE LE PUEDE SUMINISTRAR INFORMACIÓN?

A los Titulares, sus herederos o sus representantes legales.

A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

A los terceros autorizados por el Titular o por la ley.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

DEBERES

Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.

Solicitar y conservar, la autorización otorgada por el

Titular.

Informar al Titular sobre la finalidad

de la recolección y los derechos que

tiene.

Actualizar la información y comunicar al ET, todas las novedades respecto de los datos que previamente le

haya dado.

Garantizar que la información que se suministre al ET sea

veraz, completa, exacta, actualizada,

comprobable y comprensible.

Conservar la información bajo las condiciones de seguridadnecesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

DEBERES

Rectificar la información cuando

sea incorrecta y comunicar al ET.

Tramitar las consultas y reclamos

formulados.

Informar al ET cuando determinada información se encuentra en discusión por parte del Titular.

Adoptar un manual interno

de políticas y procedimientos.

Suministrar al ET, únicamente

datos cuyo Tratamiento esté

previamente autorizado.

Exigir al ET el respeto a las condiciones de seguridad y privacidad de la información.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

DEBERESInformar a solicitud del Titular sobre el uso dado a sus datos.

Informar a la SIC cuando se presenten violaciones

a los códigos de seguridad y existan

riesgos en la administración de la

información.

Cumplir las instrucciones y requerimientos que imparta la

SIC.

DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO

DEBERES

Tramitar las consultas y los reclamos formulados por los Titulares .

Conservar la información bajo las condiciones de seguridad necesarias

para impedir su adulteración, pérdida,

consulta, uso o acceso no autorizado o fraudulento

Realizar oportunamente la

actualización, rectificación o

supresión de los datos personales

Actualizar la información

reportada por los Responsables del

Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

Adoptar un manual interno

de políticas y procedimientos.

Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.

DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO

DEBERES

Registrar en la base de datos las leyenda

"reclamo en trámite”.

Insertar en la base de datos la

leyenda "información en

discusión judicial”.

Abstenerse de circular información

que esté siendo controvertida por el

Titular y cuyo bloqueo haya sido

ordenado por la SIC.

Cumplir las instrucciones y requerimientos que imparta la

SIC.

Informar a la SIC cuando se presenten

violaciones a los códigos de

seguridad y existan riesgos en la

administración de la información.

Permitir el acceso a la información

únicamente a las personas que pueden

tener acceso a ella.

CONSULTAS Y RECLAMOS

CONSULTA

Se debe habilitar un mediopara que los Titulares o susherederos hagan laconsulta sobre los DatosPersonales.

Término máximo pararesponder: 10 días hábiles,prorrogables por 5 díashábiles más.

RECLAMO

Cuando la información contenida en una base de datos debe ser

objeto de corrección, actualizacióno supresión.

Término máximo para responder: 15, días hábiles prorrogables por 08 días

hábiles.

SANCIONES

SANCIONES

Multas hasta por 2.000

smmlv.

Suspensión de las actividades relacionadas con el Tratamiento hasta por 6 meses.

Cierre temporal de las

operaciones relacionadas con el Tratamiento.

Cierre inmediato y definitivo de la operación que

involucre el Tratamiento de datos sensibles.

DEL REGISTRO NACIONAL DE BASES DE DATOS

✓ El Registro Nacional de Bases de Datos es el directorio público de las basesde datos sujetas a Tratamiento que operan en el país.

✓ El RNBD es administrado por la SIC.

✓ Se deben aportar las políticas de tratamiento de la información, las cualesobligarán a los Responsables y Encargados.

✓ La obligación de inscribir las bases de datos en el RNBD es delResponsable, indicando explícitamente quienes son los Encargados.

✓ Se deben inscribir las base de datos en el RNBD a través de Internet,ingresando a SIC www.sic.gov.co en la sección de “Protección de Datos

✓ Personales” – Subsección “Sobre la protección de datos personales”, alacceder al link del RNBD.

DEL REGISTRO NACIONAL DE BASES DE DATOS

• Término para inscribir las bases de datos en el RNBD: 31 deenero de 2018 para quine estén inscritos en las cámaras decomercio y 31 de enero de 2019 para quienes no estén inscritosen las cámaras de comercio.

• Información mínima que debe tener el RNBD:

1. Datos de identificación, ubicación y contacto del Responsabledel Tratamiento de la base de datos.2. Datos de identificación, ubicación y contacto del o de losEncargados del Tratamiento de la base de datos.3. Canales para que los titulares ejerzan sus derechos.4. Nombre y finalidad de la base de datos.5. Forma de Tratamiento de la base de datos (manual y/oautomatizada), y6. Política de Tratamiento de la información.

METODOLOGÍA PARA IMPLEMENTAR LPD

Revisar procesos

Revisar políticas y

procedimientos

Determinar brechas

Organizar inventarios

Eliminar datos no requeridos

Recolectar autorizaciones

Ajustar contratos

Definir e implementar

controles

Registrar bases de datos

Mantener cumplimiento

ANÁLISIS DE CASOS

Ficha del Caso

• Fecha: Mayo 2017• Sector de la Empresa: Actividades de centros de

llamadas (Call center)• Importe de la Sanción: 66 slmmv ($48.689.322)• Origen del Proceso: Denuncia• Tipos de incumplimientos: Técnicos, Jurídicos,

Procedimentales

ANÁLISIS DE CASOS

Conclusiones

• El ciudadano puede elegir si su información personalpuede ser utilizada o no en bases de datos.

• La información ya registrada en un usuario no puedepasar a otro organismo para que la utilice con finesdistintos, sin la autorización previa, expresa y libre deltitular.

• Ninguna entidad puede tener en sus bases de datosinformación personal privada o semiprivada de unapersona si no cuenta con las debidas autorizaciones.

• No es legitimo utilizar los datos personales y luegopretender obtener una autorización de manejo.

ANÁLISIS DE CASOS

Ficha del Caso

• Fecha: Junio 2016• Sector de la Empresa: Salud• Importe de la Sanción: 1.500 slmmv

($1.034.182.500)• Origen del Proceso: Denuncia Cliente• Tipos de incumplimientos: Técnicos,

Procedimentales

ANÁLISIS DE CASOS

Conclusiones:

La sanción castiga en especial el hecho de considerar que con un plazo de 20 meses durante los cuales los datos eran accesibles libremente queda patente que no se siguió la diligencia debida en cuanto a la validación de las medidas de seguridad presuntamente implementadas.

Esto se multiplica por el hecho que las Bases de Datos contienen datos sensibles (salud y menores).

La SIC es especialmente enfática con el hecho que la sancionada no comunicara del incidente. Esto puede sentar un precedente a notificar cualquier incidente en su interpretación más “amplia” a la SIC, sin interpretaciones.

www.summa-consultores.com www.isecauditors.com

PBX: 4813869 PBX: 6386888

Cra. 13a N° 89-38, Of. 628 Calle 90 No. 12-28

Bogotá D.C. Bogotá D.C.

ejaramillo@summa-consultores.com dfernandez@isecauditors.com

GRACIAS