Agosto de 2015
Enfoque práctico
Protección de datos
personales
Legal – ERS Services
Agenda
1. Contextualización
2. Breve antecedente normativo
3. Aspectos prácticos implementación
• Enfoque jurídico.
2
3 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Contextualización
4 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Objetivo principal de la ley
Contextualización
01titulares
Derechos del titular
• Consentimiento
• Habeas Data
02Organizaciones
Derechos al uso
Deber de protección
Deloitte Touche Tohmatsu Limited. 5
Derecho intimidad y
privacidad
1
• Por la cual se dictan disposiciones para la protección de
datos personales
Constitución
Política
Derecho a la
información
2
Ley 1581/12
Artículos 15 y 20
Decreto 1377/13 Decreto 886/14
• Por la cual se reglamenta la ley 1581 de 2012 y se
reglamenta el registro nacional de bases de datos
Ley 1266/08• Por la cual se dictan disposiciones generales de habeas
data y se regula el manejo de información personal
comercial, financiera y de servicios
Breve antecedente normativo
Datos personales 1
Ley 1581 de 2012
Decreto 1377 de
2013
Ley 1266 de 2008
Descripción
• Regula los derechos y deberes asociados al manejo de
información de naturaleza personal de carácter público,
privado, semiprivado, sensible que puede ser asociada a
una persona o personas determinables EJ: Nombre,
dirección, correo, género, fotografías, videos etc.
6
Datos comerciales,
servicios y financieros
2Descripción
Regula los derechos y deberes asociados al manejo de
información de naturaleza comercial, servicios y financieros.
Esta es una norma sectorial y su aplicación se centra
principalmente en la información asociada al historial crédito
y score que utilizan las centrales de riesgo de información
financiera.
Ha
be
as
da
ta
Dere
ch
o
Co
ns
titu
cio
na
lBreve antecedente normativo
7 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Habeas data / Protección de datos personales
Breve antecedente normativo
Protección de datos
personales
8 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Enfoque jurídico
Aspectos prácticos implementación
1 Solicitud de autorización para
el tratamiento de datos
históricos
2Manual de políticas y
procedimientos para el
tratamiento de información
personal. 3 Terceros encargados del
tratamiento de la información
4Avisos de privacidad y
solicitudes de autorización
5Canales de atención a titulares
de la información
6 Procedimientos internos para el
tratamiento de la información
personal
7Inventario de bases de datos
personalesDiligencia demostrada
8
9 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Solicitud autorización tratamiento de datos históricos
Aspectos prácticos – Enfoque jurídico
Tratamiento
autorizado de
los datos
personalesDATOS
PERSONALES
CANALES
RECOLECCIÓN DE
INFORMACIÓNRECOLECCIÓN
USO
ALMACENAMIENTO
TRANSMISIÓN /
TRANSFERENCIA
SUPRESIÓN O
ELIMINACIÓN
ACTUALIZACIÓN
¿Qué pasa con
los datos
recolectados
antes de la
vigencia de la
ley?
10 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Datos
personales
históricos
Nuevos datos
personales
recolectados
01
Datos
personales
históricos
Nuevos datos
personales
recolectados
01 02
Datos
personales
históricos
Nuevos datos
personales
recolectados
Aviso
alternativo
Implementación
de avisos
Aviso
alternativo
01 02
Implementación
de avisosAviso
alternativo
Solicitud autorización tratamiento de datos históricos
Aspectos prácticos – Enfoque jurídico
11 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Manual de políticas y procedimientos de tratamiento de información
Aspectos prácticos – Enfoque jurídico
Manual de
políticas y
procedimientos
de tratamiento de
información
Ámbito de
aplicación
Finalidades y
tipo de
tratamiento
Programa
corporativo /
Efectividad de la
política
Requisitos legales
para el manual
¿Cuál es la
diferencia con la
política de
tratamiento?
12 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Terceros encargados del tratamiento de la información
Aspectos prácticos – Enfoque jurídico
RECOLECCIÓN
USO
ALMACENAMIENTO
TRANSMISIÓN /
TRANSFERENCIA
SUPRESIÓN O
ELIMINACIÓN
ACTUALIZACIÓN ¿Cómo
gestionar el
relacionamiento
con los terceros
encargados?
Inventario CategorizaciónProtocolo
relacionamiento
Protocolo
supervisión
13 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
ACEPTACIÓN
EXPRESA
Avisos de privacidad – Solicitudes de autorización
Aspectos prácticos – Enfoque jurídico
Aceptación por medio verbal
Aceptación por medio escrito Aceptación por medio inequívoco
¿Cuál es la
diferencia entre
aceptación
inequívoca y el
silencio?
14 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Canales de atención de consultas y reclamos
Aspectos prácticos – Enfoque jurídico
Adecuada
diferenciación entre los
supuestos que dan
lugar a las consultas y
los que dan lugar a los
reclamos1
Definición de
responsable e
instancias de
apoyo2
Adecuada
gestión de los
términos
legales3Definición
de los
canales4
¿Cuál es la
diferencia con el
canal de PQRS
de la gestión
comercial?
15 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Procedimientos internos tratamiento de la información
Aspectos prácticos – Enfoque jurídico
Actualización y reporte periodico
registro nacional bases de datosProtocolo acceso a videos de vigilancia
Gestión de terceros encargados
Atención de consultas y reclamos
Reporte incidentes de seguridad
Destrucción o disposición de los datos
¿Cuáles son los
procedimientos internos
que menciona la ley?
16 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Registro Bases de datos personales
Aspectos prácticos – Enfoque jurídico
Autorización del
tratamiento
Norma que
exceptua la
autorización
Bases
gestionadas
por terceros
encargados
Naturaleza jurídica
los datos
17 Footer Copyright © 2014 Deloitte Development LLC. All rights reserved.
Principio legal Diligencia demostrada
Aspectos prácticos – Enfoque jurídico
Diligencia
demostrada
Capacitaciones y
programas de
sostenibilidad
Manual de
políticas y
procedimientos
Encargados y
responsables
Procedimientos
internos
Inventario bases
de datos
Avisos de
privacidad /
Autorización
Gestión del
riesgo
Definición y asignación
de controles
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms,
each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of
Deloitte Touche Tohmatsu Limited and its member firms.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally
connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients
succeed wherever they operate. Deloitte's approximately 170,000 professionals are committed to becoming the standard of excel lence.
This publication is for internal distribution and use only among personnel of Deloitte Touche Tohmatsu Limited, its member firms, and their related
entities (collectively, the “Deloitte Network”). None of the Deloitte Network shall be responsible for any loss whatsoever sustained by any person
who relies on this publication.