Nueva Ley de Habeas Data en Colombia #leyhabeasdata #colombiahabeasdata #habeasdata

El pasado 27 de julio la Corte Constitucional  profirió la sentencia C-748 de 2011, por medio de la cual declaró exequible (con algunas excepciones) el proyecto de ley estatutaria para la protección de datos personales que fue aprobado por el Congreso el pasado 16 de diciembre de 2010, que será por tanto promulgada en los próximos días.

La Nueva Ley se sumará, por una parte, a la también Ley Estatutaria 1266 de 2008, por medio de la cual ya se había regulado la recolección, uso y transferencia de los datos personales financieros (la “Ley 1266”) y, por otra, a los más de 200 precedentes jurisprudenciales proferidos por la Corte Constitucional en materia del derecho fundamental del habeas data, para completar así un Régimen Integral de Protección de Datos Personales en Colombia, que permitirá a nuestro país cumplir con los más altos estándares internacionales, particularmente los europeos.

En el presente Boletín, resumimos los principales aspectos de la Nueva Ley, tal y como fue interpretada por la Corte Constitucional en la Sentencia C-748, destacando: (i) A qué personas se aplica la Nueva Ley; (ii) Las obligaciones que tienen las empresas en la recolección, uso y transferencia de datos personales, tanto de sus clientes y proveedores como de sus empleados, así como los derechos de los titulares; (iii) Las funciones de inspección y vigilancia de la Superintendencia de Industria y Comercio en relación con esta materia; (iv) Las nuevas sanciones que trae la Nueva Ley.

1.    El ámbito de aplicación de la Nueva Ley

  • La Nueva Ley busca proteger los datos personales. Por dato personal se entiende cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Aunque en la Sentencia C-748 de 2011 no lo hace, en otras sentencias la Corte ha dado ejemplos de lo que considera datos personales de una persona natural. De ellos, cabe destacar los siguientes: (i) El nombre y su número de identificación; (ii) Su historial crediticio y la información usada para evaluar su riesgo crediticio (datos personales financieros); (ii) Su historia clínica y la información relacionada con su salud; (iii) Fotografías y videos en los que aparezca; (iv) Información sobre sus actividades comerciales; y (v) Su pasado judicial.
  •  La Nueva Ley se aplica a cualquier tratamiento de datos personales que se haga en Colombia. Por tratamiento se entiende cualquier operación que se haga sobre datos personales, incluyendo su recolección, almacenamiento, uso, circulación y supresión.
  • La Nueva Ley se aplica, en principio, únicamente a los datos personales de las personas naturales. Sin embargo, es importante tener en cuenta que:
    • La Ley 1266 expresamente establece que las personas jurídicas sí tienen datos personales financieros, es decir, datos personales que se utilizan para calcular el riesgo crediticio de las personas jurídicas.
    • La Corte señaló que la protección de la Nueva Ley se podría extender a “las personas jurídicas cuando se afecten los derechos de las personas que la conforman”. La Corte no profundizó en esta excepción, por lo que deberá ser objeto de análisis por las empresas en cada caso concreto. La Corte Constitucional aclaró que la Nueva Ley se aplica tanto a archivos electrónicos como a archivos físicos.
  • La Corte Constitucional aclaró que la Nueva Ley se aplica tanto a archivos electrónicos como a archivos físicos.
  • La Nueva Ley se aplica incluso en el ámbito interno de una empresa. La Corte pone como ejemplo el manejo de las hojas de vida de los empleados, respecto de los cuales aplicarían los principios de administración de datos personales a los que nos referimos más adelante.
  • El ámbito de aplicación de la Nueva Ley cubre todos los sectores de la economía. Las normas sectoriales se deben entender como complementarias y no como sustitutas del régimen general.
  • La Nueva Ley se podría aplicar incluso al tratamiento de datos personales que se haga en el exterior, si existen normas o tratados internacionales que establezcan que la legislación colombiana se aplica quien está haciendo el tratamiento.
  • La Nueva Ley establece algunas excepciones a la aplicación de la Nueva Ley, dentro de los cuales están los datos personales financieros, que seguirán rigiéndose por la Ley 1266. Sin embargo, aún en estos casos los principios consagrados en la Nueva Ley serán de aplicación.

2.    Los sujetos que hacen el tratamiento: El Responsable y el Encargado del Tratamiento

  • Para distinguir las obligaciones y responsabilidades de quienes realizan Tratamiento de datos personales, la Nueva Ley crea dos categorías nuevas, la de Responsable y la de  Encargado del Tratamiento.
    • Responsable es toda persona que, por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. La Corte agrega otros criterios para determinar cuándo estamos frente a un Responsable. Es responsable: (i) Quien decide sobre las finalidades del Tratamiento; o (ii) Quien decide sobre los medios empleados para el efecto.
    • Encargado es toda persona que, por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.  El Encargado, añadió la Corte, se caracteriza porque recibe unas instrucciones sobre la forma como los datos serán administrado, es decir a él se le delega el procesamiento del dato, lo que da a entender una relación de subordinación del encargado al Responsable.
  • Las empresas deben definir claramente en sus contratos y manuales internos el rol que están asumiendo respecto de los distintos datos que Tratan, pues en caso de no hacerlo las autoridades correspondientes habrán de presumir la responsabilidad solidaria de todos, según lo expresó la Corte en la Sentencia C-748.
  • El concepto de Responsable puede cobijar otros conceptos de la Ley 1266, como por ejemplo los de Fuente o Usuario.

3.    Los principios de la Nueva Ley

  • La Nueva Ley señala expresamente algunos de los principios que deben seguirse en todo Tratamiento de Datos Personales.
    • Legalidad: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
    • Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular. El periodo de conservación de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado y los datos recaudados deben ser los estrictamente necesarios para las finalidades perseguidas. La finalidad debe ser informada de manera clara, suficiente y previa.
    • Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Sobre este principio nos detendremos más adelante.
    • Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
    • Principio de transparencia: En el Tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
    • Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la presente ley y la Constitución.
    • Principio de seguridad: Los Datos Personales deben Tratarse con las medidas técnicas, humanas y administrativas para dar seguridad a los registros de las bases de Datos Personales.
    • Principio de confidencialidad: Todas las personas que participen en el Tratamiento de Datos Personales deben garantizar la reserva de dicha información.

4.    La Autorización para el Tratamiento de Datos Personales

  • El tratamiento sólo puede ejercerse si existe una autorización por parte del sujeto del dato con su consentimiento, previo, expreso e informado, salvo que exista mandato legal o judicial que releve el consentimiento. En otro aparte, citando la sentencia C-1011 de 2008, la Corte aclara que el consentimiento debe ser igualmente suficiente.
  • La Corte aclaró que la autorización debe ser inequívoca. En este sentido, la Corte no prevé situaciones en las que dicho consentimiento pueda ser tácito. Del silencio del Titular del Dato nunca podría inferirse su autorización del uso de su información.
  • El carácter expreso se traduce también en la prohibición de otorgarse autorizaciones abiertas y no específicas.
  • El Titular dentro de la autorización podrá limitar el plazo de su validez.
  • El tratamiento debe obedecer a una finalidad legítima, de acuerdo con lo que expresamos anteriormente.
  • La Corte aclaró que los Datos Personales deben ser tratados sólo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse una nueva autorización previa del titular.

5.    Los derechos de los titulares

  • La Nueva Ley establece una serie de derechos que tanto Responsables como Encargados deben respetar. Los Titulares tienen derecho a:
    • Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento.
    • Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
    • Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
    • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
    • Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. En este caso, la Corte aclaró que tal revocación no podrá darse cuando el Titular tenga una obligación legal o contractual de conservarlos.
    • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.ar.

6.    Las principales obligaciones de Responsables y Encargados

  • La nueva Ley establece obligaciones específicas tanto para Responsables como para Encargados. Las siguientes son las_principales obligaciones de los Responsables:
    • Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
    • Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
    • Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades que sean del caso.
    • Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
    • Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
    • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y en especial, para la atención de consultas y reclamos.
    • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Las siguientes son las principales obligaciones de los Encargados del Tratamiento:

    • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
    • Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
    • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
    • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
    • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
    • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
    • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y  Comercio.

7.    La Transferencia de datos personales a terceros países

  • De acuerdo con la Nueva Ley, para que sea legítimo la transferencia de datos personales a terceros países, estos deben contar con un nivel de protección adecuado. Se entenderá que un país tendrá un nivel adecuado cuando cumpla con los siguientes estándares mínimos:
    • Tenga normas que contengan derechos en cabeza del titular de los datos, y obligaciones respecto de quienes procesan la información personal;
    • Que existan los mecanismos para garantizar la efectiva aplicación del contenido normativo;
    • Cumplir mínimo con los siguientes principios:
      • La limitación de la finalidad; 
      • Calidad de los datos y proporcionalidad;
      • Transparencia;
      • Seguridad;
      • Acceso, rectificación y oposición;
      • Restricciones a las trasferencias sucesivas a otros países y;
      • Disposiciones sectoriales o adicionales para el tratamiento de datos de tipo especial donde se incluye, datos sensibles, mercadeo directo y decisión individual automatizada.
    •  La Superintendencia de Industria y Comercio será la entidad encargada de certificar que un país tiene un nivel de protección adecuado.
    • Para aquellos casos en los que la transferencia se vaya a realizar a un país que no tenga un nivel de protección adecuado, se requerirá del consentimiento expreso e inequívoco del Titular.

8.    Vigilancia y sanciones

  • La Superintendencia de Industria y Comercio será la entidad encargada de vigilar el cumplimiento de la Nueva Ley.
  • El incumplimiento de las prescripciones de la Nueva Ley puede acarrear las siguientes sanciones:
    • Prisión entre 4 y 8 años.
    • Multas de hasta 2.000 salarios mínimos.
    • Suspensión de las actividades de Tratamiento de Datos Personales.
    • Cierre temporal de las operaciones relacionadas con el Tratamiento de Datos Personales.

Fuente: Brigard&Urrutia – fuente

Anuncios

Acerca de Inés Tornabene
Inés Tornabene www.inestornabene.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: