Propuesta al Proyecto Decreto tratamiento de datos

legislacion_1

Por Alexander Díaz García

Propuesta para glosar o modificar, algunos artículos del Proyecto de Decreto Reglamentario a la Ley 1581 de 2012, conocida en Colombia como de Tratamiento de Datos Personales realizadas por Alexander Díaz García. Juez de control de garantías constitucionales.

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO
DECRETO NÚMERO DE 2012

Por el cual se reglamenta parcialmente la Ley 1581 de 2012,
“Por la cual se dictan disposiciones generales para la protección de datos personales”.

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

En uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581 de 2012.

CONSIDERANDO

Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1, tiene por objeto “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.

Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de Ley Estatutaria No. 184 de 2010 Senado, 046 de 2010 Cámara.

Que es necesario integrar en un solo cuerpo normativo los principios que rigen la protección de datos personales, de acuerdo con las disposiciones vigentes y la jurisprudencia de la Corte Constitucional.

Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales, las normas corporativas vinculantes y la responsabilidad demostrada.

DECRETA

CAPÍTULO I.
DISPOSICIONES GENERALES

Artículo 15. DERECHO DE INFORMACIÓN EN LA CAPTURA DE DATOS

En desarrollo de los principios de finalidad, libertad, necesidad y proporcionalidad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para el propósito para el cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrá recolectar información personal sin autorización del Titular de los Datos, en consecuencia:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco sobre:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la República de Colombia y utilice en el tratamiento de datos, medios para su transferencia situados en territorio colombiano, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en Colombia, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la captura, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del numeral 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido capturados del interesado, éste deberá ser notificado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la DELEGATURA DE PROTECCIÓN DE DATOS DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso. en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Artículo 16. AUTORIZACIÓN.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco y expreso del afectado, salvo que la ley disponga otra cosa y en especial las excepciones previstas por el artículo 10 de la Ley 1581 de 2012.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencia, de conformidad a lo normado en el artículo 2 de la Ley de Protección de Datos Personales; cuando se refieran a las partes de un contrato o precontrato de una relación comercial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, exceptuándose su transferencia; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 17 ibidem, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado.

5. A solicitud de la DELEGATURA DE PROTECCIÓN DE DATOS PERSONALES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, los Responsables deberán proveer una descripción de los procedimientos usados para la captura, almacenamiento, uso, circulación y supresión de información, como también la Datos Personales. Existe una actuación fraudulenta o engañosa cuando:

a) Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el Tratamiento;

b) Las finalidades no sean las informadas en el aviso de privacidad.

Artículo 17. DE LA AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES SENSIBLES.

De acuerdo con lo establecido en el Artículo 5 de la Ley 1581 de 2012, se requerirá de la autorización expresa del titular y se le advertirá a éste que no podrá ser obligado a declarar o suministrar datos sobre su ideología, origen racial o étnico, de orientación política, las convicciones religiosas o filosóficas, la inscripción a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derecho y garantías de partido político que garanticen los derechos y garantías de particos políticos de oposición así como los datos a la salud, a la vida sexual y los datos biométricos.

En el Tratamiento de Datos Personales Sensibles, conforme a lo establecido en el Artículo 6 ejusdem, deberá cumplirse las siguientes obligaciones:

1. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en, cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

2. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

3. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

4. Los datos de carácter personal relativos a la omisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

5. No obstante lo dispuesto en los numerales anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia o servicios de salud o tratamientos médicos, calamidad pública, siempre que dicho tratamiento de datos se realice por un profesional de la salud sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

6. Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles, salvo que los mismos sean indispensables para el Tratamiento para el cual se pretende la autorización.

CAPITULO IV. POLÍTICAS DE TRATAMIENTO

Artículo 24. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN. LA DELEGATURA DE PROTECCIÓN DE DATOS PERSONALES de la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, creará EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS PERSONALES, y para ello diseñará, aprobará y publicará sendos modelos de formularios para inscripción creación, modificación y supresión de ficheros de tratamiento de datos personales, a fin de surtirse la práctica de la notificación de la Resolución de Inscripción al Responsable y los Encargados que solicitan la inscripción.

Se deberán registrar todos los ficheros que contenga datos de carácter personal registrados en un soporte físico que los haga susceptibles de tratamiento, o aquellos que se vayan a crear o se va a realizar un nuevo tratamiento de datos personales, por consiguiente se notificará la correspondiente solicitud de inscripción del fichero.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el Registro General de Protección de Datos, deberá comunicarse a la DELEGATURA DE PROTECCIÓN DE DATOS PERSONALES DE LA SUPERINTENDENCIA DE INDUSTRITA Y COMERCIO mediante una solicitud de modificación o de supresión de la inscripción, según corresponda.

La DELEGATURA DE PROTECCIÓN DE DATOS PERSONALES DE LA SIC, inscribirá el fichero si la solicitud de registro se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

En todo caso, la inscripción de un fichero en el REGISTRO GENERAL DE PROTECCIÓN DE DATOS, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley 1581 de 2012, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

El modelo de registro según las Políticas de Tratamiento de la Información, deberá constar por escrito, llenándose los formularios que para estos fines la DELEGATURA DE PROTECCIÓN DE DATOS PERSONALES DE LA SIC, diseñe, apruebe y publique y deberán contener la siguiente información:

1. Datos del Responsable y los Encargados del fichero del Tratamiento de Datos Personales. Denominación del responsable del fichero o tratamiento, con su respectivo RUT y NIT.

2. Persona Física que Efectúa el registro y dirección a efectos de notificaciones.

3. Responsable del Fichero o Tratamiento. (Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento).

4. Oposición acceso rectificación y cancelación. Oficina o Unidad concreto ante el que puedan ejercitarse los derechos de oposición, acceso, rectificación y cancelación.

5. Nombre y descripción del fichero o tratamiento de datos. Deberá contener y entenderse como fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la captura, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así nacional vigente que rige la protección de datos sobre la cual sustenta la creación de la base de datos.

7. Fecha de entrada en vigencia de la política de Tratamiento de la información y período de vigencia de la base de datos.

8. Nivel de medidas de seguridad aplicado al Tratamiento de la base de datos. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos y tendrán la siguiente clasificación:

En este apartado se indicará el nivel de seguridad exigible. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.

8.1. Nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes.

8.2. Nivel medio: Si se trata de un fichero que contenga datos relativos a infracciones penales o administrativas, o Fiscales o Tributarios, servicios financieros, o se trata de un fichero para la prestación de servicios de información sobre solvencia patrimonial y crédito.

8.3. Nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, o si se trata de un fichero que contenga datos recabados para fines policiales sin consentimiento.

Cualquier cambio sustancial en las políticas de Tratamiento, deberá ser comunicado oportunamente a los Titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.

CAPÍTULO VI. TRANSFERENCIA Y TRANSMISIONES DE DATOS PERSONALES

Artículo 33. DE LA TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES.

a)…

b)…

c)….

e) De todos modos se revisarán las políticas públicas de protección, siguiendo los estándares europeos para garantizar el nivel adecuado de protección del país receptor o tercero, en tratándose de si la transferencia internacional se ampara en la existencia del consentimiento de los interesados; de todas formas se deberá tener en cuenta que por consentimiento se entiende toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Si la transferencia internacional de datos no se encuentra amparada en ninguno de los supuestos citados en el apartado de transferencias internacionales, deberá solicitar la preceptiva autorización de la DELEGATURA DE PROTECCIÓN DE DATOS DE DATOS PERSONALES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO.