Implementación de la Ley Colombiana de datos personales

colombia_5

Por Alexander Díaz García

Hoy comienza a funcionar, en pleno rendimiento la Ley Estatuaria No. 1581 por la cual se dictan disposiciones generales para la protección de datos personales, publicada el pasado 17 de Octubre de 2012 por el Congreso de Colombia.

La Ley “tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

Conforme a la citada ley, se entiende como información personal sujeta a protección “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”, como las bases de datos con información sobre clientes, proveedores, pacientes, susceptible de tratamiento por entidades de naturaleza pública o privada.

Para el tratamiento de datos personales se requiere la autorización informada y expresa del titular debiendo tener éste el conocimiento respecto al uso que se le dará a su información.

El Responsable de los datos deberá, en todo caso, garantizar a las personas, el pleno y efectivo ejercicio del derecho de habeas data, que la información se conservará bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado. En el caso de los cesionarios de la información, debidamente autorizados y con conocimiento de las personas, se facilitará sólo la información cuyo tratamiento esté previamente autorizado por el titular.

Dicha ley obliga a todas las personas que capturan datos personales a crear la unidad, departamento, vicepresidencia o dirección para el encargado y/o responsable del tratamiento de datos personales.

Se deberá a crear el “Manual de Políticas de Tratamiento de Datos Personales”, logrando el nivel exigido por la Delegatura de Tratamiento de Datos Personales de la Superintendencias de Industria y Comercio.

Entre las obligaciones del Responsable del tratamiento cabe recordar que deberán garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada; rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento; suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos; informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; informar a solicitud del Titular sobre el uso dado a sus datos; informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares, así como cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

De forma adicional, dicha ley establece la protección de una nueva categoría denominada datos sensibles, así como la protección de datos relacionados con los derechos de los niños y adolescentes, otorgándoles un nivel más específico de protección.

La Delegatura para la Protección de Datos Personales, dentro de la Superintendencia de Industria y Comercio será el ente encargado de vigilar y controlar los datos personales, asegurando que su tratamiento respete los principios, derechos y garantías contenidos en la ley, que podrá imponer sanciones económicas que incluyen multas o la suspensión de las actividades relacionadas con el tratamiento de la información, e incluso el cierre temporal de las operaciones relacionadas con el tratamiento de la información, según sea el grado de infracción cometido.

Se debe recordar que el que viole la Ley 1581 de 2012, podría estar incurso en el delito de violación de datos personales, si se demuestra que su conducta es dolosa, tipificado en la Ley 1273 de 2009 “el que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.

Por otra parte, en relación a los sitios webs, se deberá considerar la suplantación para capturar datos personales, tipificada en la Ley 1273 de 2009 “El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito”.

No obstante la Delegatura de Tratamiento de Datos Personales de la Superintendencia de Industria y Comercio, deberá revisar con lupa la conducta del encargado y/o responsable del tratamiento de datos cuya custodia recae el fichero vulnerado.

Se crea el Registro Nacional de Bases de Datos, como directorio público de las bases de datos sujetas a Tratamiento que operan en el país. El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley (artículo 25 de la Ley).

Esta Ley conjuntamente con otras ya en vigor, como la Ley de Delitos Informáticos (1273 de 2009 de la que fui autor) en Colombia, logramos elevar a bien jurídico tutelado la información y el dato, pudiendo concienciar a los capacitados (empleados y funcionarios) todo el tema de los delitos informáticos, haciendo énfasis en sus verbos rectores y las condiciones especiales del tipo penal, para que el personal le sea fácil establecer la presencia de una conducta de estas características y la puedan diferencia de un delito electrónico.