Skip to main content

La Ley de protección de datos protege la información privada de las personas. Las empresas que tienen acceso a ella deben ser muy cuidadosas de no violar la normatividad, para no poner en riesgo la seguridad de sus clientes, su imagen de confianza y no arriesgarse a las sanciones de ley.

La información aquí contenida es simplemente material informativo que se pone a disposición de las pymes. Es responsabilidad exclusiva de los clientes y las pymes el cumplimiento de la normatividad que le sea aplicable.

¿Qué es la ley de protección de datos?

La Ley 1581 de 2012, o Ley de protección de datos, y el Decreto 1377 de 2013 reconocen y protegen el derecho que tienen todas las personas a conocer, actualizar y, en caso de ser necesario, rectificar la información que sobre ellas se haya recogido en bases de datos o archivos, y que sean susceptibles de tratamiento por entidades de naturaleza pública o privada. Estas normas regulan todos los archivos que contengan datos personales de personas naturales.

¿Qué busca el Decreto 1377 de 2013?

El Decreto 1377 de 2013 reglamentó parcialmente la Ley 1581 de 2012. A partir de su expedición, las empresas interesadas en recolectar datos de sus clientes deben incluir un aviso de privacidad (que se puede hacer estratégicamente en el mismo formato de autorización de la captura), definir o crear un área o sujeto responsable de la protección de la información personal, establecer cláusulas para transmisiones y transferencias de datos, determinar o conocer cuáles son los grupos de interés del cliente, y fijar las finalidades y los tratamientos de cada uno de ellos, ya que esto se debe indicar en la política de tratamiento y en el formato de autorización.

 

Descarga los documentos y complementa la información

Decreto 1377
Descargar

 

Ley 25.326
Descargar

 

 

7 pasos para cumplir con la Ley de protección de datos personales

.1 Paso 1

Finalidad de los datos

Definir de forma concreta, la finalidad y usos que se les dará a los datos recolectados, para evitar usos indebidos de los mismos.

.2 Paso 2

Actualización de los datos

Contar con procesos y procedimientos internos que permitan la correcta modificación, actualización y eliminación de los datos cuando sea necesario.

.3 Paso 3

Estándares de protección de la información

Contar con altos estándares de seguridad, privacidad y de confidencialidad de la información, tanto en el manejo de los sistemas informáticos como en las contrataciones con empleados y terceros.

.4 Paso 2

Claridad de la información

Informar de forma clara y expresa a los titulares las finalidades y tratamientos que se le darán a los datos recolectados.

.5 Paso 3

Capacitación a empleados

Publicar y poner a disposición de sus empleados y colaboradores las políticas, lineamientos y prácticas que deben cumplirse para lograr una óptima protección de datos.

.6 Paso 2

Inventario de bases de datos

Contar con un inventario claro y ordenado de las bases de datos existentes en la empresa para posteriormente proceder con el registro ante la autoridad competente.

.7 Paso 3

Actualización en regulaciones

Realizar continuamente actualizaciones en temas de regulación y revisar las recomendaciones de la Superintendencia de Industria y Comercio, primer aliado e instructor en tema de protección de datos.

¿Cómo se recogen los datos?

La Superintendencia de Industria y Comercio explica que “la recolección de información personal es una de las actividades que realizan las organizaciones de acuerdo con sus procedimientos y necesidades, por lo tanto, cada empresa o entidad es la que determina en qué momento y cómo recolectan los datos de los clientes, empleados, proveedores y otros”.

Por su parte, Nelson Remolina Angarita, director del Observatorio de Protección de Datos y del Grupo de Estudios en internet, Comercio Electrónico, Telecomunicaciones e Informática (GETCI) de la Universidad de los Andes, advierte que los datos pueden recolectarse, “por cualquier medio y en todo momento de manera visible e invisible a las personas. Los medios más comunes son: escrito, verbal, electrónico, cámaras de video, dispositivos electrónicos o conductas inequívocas de cada individuo”.

Sin embargo, la ley es clara cuando asegura que es necesario “el consentimiento previo, expreso e informado del titular”, es decir, que el dueño de la información apruebe y sepa para qué y cómo se utilizará dicha información. Carolina Arboleda Tilano, abogada de la Gerencia Jurídica Nacional Personas y Pymes de Bancolombia, concluye que, “siempre que haya recolección de datos personales, se deberá tener una finalidad legítima y cierta, es decir, una razón de ser de la recolección. Además, los datos recolectados deben ser pertinentes y adecuados para alcanzar dicho fin”.

¿Cuáles son los tipos de datos que existen?

La ley de protección de datos clasifica los datos de la siguiente manera:

Tipos de datos, Ley de Protección de Datos

¿Qué responsabilidad asumen las empresas que manejan información sensible?

Los datos sensibles son aquellos que afectan la intimidad del titular por lo que su uso indebido puede generar discriminación. Estos revelan el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de Derechos Humanos, que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición. Allí también se encuentran los relativos a la salud, a la vida sexual y los datos biométricos.

“Las empresas que manejan información sensible de sus clientes, usuarios, colaboradores y proveedores deberán, antes de realizar el tratamiento de la información, solicitar la autorización del titular del dato e informarle de manera previa y expresa que, por su categoría especial, no está obligado a autorizar su tratamiento, adicionalmente se informará de forma explícita cuáles datos sensibles serán solicitados y qué finalidad se les dará a los mismos”, explica Arboleda.

De otro lado, Remolina asegura que, para este caso en particular, la responsabilidad es mayor y calificada. “En términos de la Corte Constitucional, el responsable adquiere una responsabilidad reforzada, lo cual implica que, respecto de datos personales sensibles, se deben adoptar mayores medidas de seguridad, restricciones de acceso, de usos y de circulación”, señala el director del Observatorio.

Responsabilidades puntuales de quienes tratan con datos sensibles

  1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  2. Solicitar y conservar copia de la respectiva autorización otorgada por el titular.
  3. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  4. Tramitar las consultas y reclamos formulados por los titulares de la información.
  5. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos.
  6. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
  7. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

¿Cuáles son los errores más comunes que cometen las empresas que manejan información de sus usuarios?

Son varias las faltas que se pueden cometer a la hora de recolectar datos. Según Arboleda, entre lo más común está que “las empresas tienen problemas identificando y definiendo cuáles de los procesos de la cadena productiva tienen un componente de tratamiento de datos o cuáles procesos implican el tratamiento de datos sensibles”. La abogada señala que, “sin una identificación correcta, no es posible generar estrategias de control y monitoreo que permitan el cumplimiento de la normatividad”.

No contar con un mecanismo idóneo para controlar y hacer seguimiento a las revocatorias que los usuarios (titulares de la información) puedan realizar, es otra situación que normalmente puede generar riesgos en la implementación de la normatividad en las empresas, de tal manera que estas terminan irrespetando los derechos de los titulares de la información.

Las infracciones más frecuentes al recolectar datos

La Superintendencia de Industria y Comercio advierte sobre las cuatro infracciones más recurrentes por parte de quienes recolectan datos:

  1. Negar al titular (dueño de los datos) el ejercicio de su derecho de hábeas data, al no recibir sus peticiones o no atender en los términos de ley sus reclamos o solicitudes de corrección, actualización o eliminación de su información. 
  2. Entregar los datos de las personas a terceros para que los contacten sin su autorización o hacerlo a pesar de que la persona manifestó su negativa a que eso se hiciera. Con esta conducta, las organizaciones facilitan los datos para que otras empresas realicen, por ejemplo, actividades de publicidad y mercadeo, situaciones que pueden resultar incómodas para las personas.
  3. Cuando no se le comunica al deudor que va a ser reportado en las centrales de riesgo por mora en el pago de sus obligaciones dinerarias, con el fin de que este tenga la oportunidad de pagar o de controvertir aspectos relacionados con el valor adeudado o la fecha de pago, entre otros.
  4. Si las empresas no implementan medidas de seguridad para proteger la información personal, evitando así la pérdida o robo de datos o su adulteración y las consultas, usos o accesos no autorizados o fraudulentos de la misma.

¿Cuáles son las implicaciones de no cumplir con la Ley de protección de datos personales?

La Superintendencia de Industria y Comercio -como entidad de inspección, control y vigilancia- tiene competencia para investigar las conductas contrarias a la ley y que afectan los derechos de las personas e imponer las siguientes sanciones:

  • Multas de carácter personal o institucional hasta por dos mil salarios mínimos.
  • Suspensión de las actividades relacionadas con el tratamiento de datos personales hasta por un término de seis meses.
  • Cierre temporal de las operaciones relacionadas con el tratamiento de datos personales si no se adoptaron los correctivos ordenados en el acto de suspensión.
  • Cierre definitivo de las operaciones que impliquen tratamiento de datos sensibles de las personas.

Para este organismo de control también es posible ordenar el bloqueo temporal de las bases datos que se utilizan hasta tanto se investigue la conducta y se tome una decisión definitiva. Adicionalmente, según la Ley 1273 de 2009, la violación de datos personales es un delito que puede ser sancionado con pena de prisión de 48 a 96 meses y multas de 100 a 1.000 salarios mínimos legales mensuales vigentes.  

Sin embargo, sumado a la sanción legal, Remolina apunta consecuencias también en el ámbito de la confianza de la empresa recolectora, al advertir que se pone en juego la buena reputación de una empresa, se pierde confianza de los clientes y se puede afectar el patrimonio de los mismos.

La Ley 1581 de 2012, o Ley de protección de datos, y el Decreto 1377 de 2013 reconocen y protegen el derecho que tienen todas las personas a conocer, actualizar y rectificar su información. A partir de su expedición, las empresas interesadas en recolectar datos de sus clientes deben conocer la ley, saber cuáles son los tipos de datos que existen y qué responsabilidad asumen al manejar información sensible, entre otros relacionados con la ley.

Temas clave:

¿Te pareció útil este contenido?

Inscribirme

Suscríbete a nuestro boletín

1. Mantente actualizado con información semanal.
2. Ten a la mano temas de interés para tu negocio.
3. Entérate de lo último en tendencias para tu empresa.

Los más populares

Colombia avanza en el objetivo de convertirse en una despensa hortofrutícola de talla mundial, de la cual hace parte el limón Tahití por su demanda a nivel internacional, soportada en una producción de 35.000 toneladas al año...

Constituir una sociedad es un paso serio que se da, cuando están claras las expectativas de crecimiento de un emprendimiento y una vez se ha validado el modelo de negocio en el mercado...

De acuerdo con el experto José Luis Valdés O’connell, especialista en Agricultura de la Universidad de la Florida, las pymes son las generadoras del futuro en el sector agro...

¿Quieres ver más artículos de Actualízate?

Descúbrelos