Disposiciones para la protección de datos en Colombia

El pasado 17 de octubre del año 2012 era sancionada la Ley Estatutaria 1581 sobre Protección de Datos Personales después del proyecto 184 Senado y 046 Cámara presentado en el año 2010 y de su control constitucional contenido en la sentencia C-748/11, en Colombia. Con la entrada en vigor de la citada Ley, Colombia se une al grupo de países con regulación legal especial en materia de protección de datos de carácter personal.

La nueva Ley busca proteger los datos de carácter personal contenidos en cualquier base de datos que permita su tratamiento por parte de entidades de naturaleza pública y privada, asentándose en los principios de legalidad, finalidad, veracidad, libertad, calidad, transparencia, confidencialidad y seguridad entre otros; garantizando la libertades y garantías recogidas en el artículo 15 y el derecho a la información consagrado en el artículo 20, ambos de la Constitución Política colombiana.

Cabe recordar que entre 2009 y el agosto 31 de 2012, la Superintendencia de Industria y Comercio recibió 5476 reclamaciones, abrió 1063 investigaciones, realizó 32 inspecciones e impuso 327 multas por un valor total de aproximadamente 2.509,695 de dólares, siendo la sanción más alta es de 112.476 dólares (impuesta a una empresa de comunicaciones por no actualizar datos negativos durante varios años.

La Ley Estatutaria No. 1581 consta de diez Títulos y treinta artículos, creándose dos categorías de sujetos obligados: Responsable y el Encargado del tratamiento, el primero será la persona que, por si o con otros decida sobre la base de datos y el Encargado es toda persona que, por sí misma o con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento (según la legislación española nos encontraríamos ante la figura del encargado de tratamiento o prestador de servicios).

Entre las obligaciones del Responsable del Tratamiento cabe reseñar el solicitar y conservar copia de la respectiva autorización otorgada por la persona titular de sus propios datos, informar al titular sobre la finalidad de tratamiento de los datos, conservando la información bajo condiciones de seguridad. Garantizar que cuando sea cedida al Encargado del Tratamiento la información sea veraz, completa, exacta, actualizada, comprobable y comprensible, así como actualizar la información, rectificar la información cuando sea incorrecta. Suministrar al Encargado del Tratamiento, según el caso, únicamente los datos concretos cuyo tratamiento esté previamente autorizado, tramitar las consultas y reclamaciones formuladas, adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley (según la Ley Orgánica española nos encontraríamos ante el Documento de Seguridad), e informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de los datos de carácter personal contenidos en las bases de datos.

Por su parte el Encargado de Tratamiento deberá conservar los datos en condiciones de seguridad, abstenerse de ceder o comunicar información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares y cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, entre otras.

La Ley exceptúa de su aplicación, las bases de datos o archivos mantenidos en el ámbito personal o doméstico, aquellas que tengan por finalidad la seguridad y defensa nacional, así como la prevención detección, monitoreo y control del blanqueo de capitales y financiación del terrorismo; las bases de datos relacionadas con información de inteligencia y contrainteligencia; los datos periodísticos o aquellas otras reguladas por la Ley No. 1266 de 2008 y la Ley No. 79 de 1993.

Se establecen niveles de seguridad y se regula el tratamiento y derechos sobre los datos de niños, niñas y adolescentes. El Título V recoge los procedimientos de consulta de información, presentación de reclamaciones, así como los requisitos, plazos y condiciones para ejercitarlos.

La Superintendencia de Industria y Comercio, a través de la Delegatura de Protección de Datos Personales, será el organismo público encargado de garantizar el cumplimiento de la Ley, así como de vigilar por el correcto tratamiento de los datos personales, pudiendo adoptar e imponer sanciones a los Responsables y Encargados de tratamiento de los datos, se crea, además, el Registro Nacional de Bases de Datos por parte de la Superintendecia de Industria y Comercio.

El Título VIII prohíbe explícitamente la transferencia internacional de datos de carácter personal a terceros países que proporcionen los niveles de seguridad adecuados, debiendo la Superintendecia fijar los estánderes de adecuación. Se exceptúa la información respecto de la cual se haya obtenido el consentimiento expreso e inequívoco para la transferencia internacional, el intercambio de datos de carácter medico por razones de salud e higiene pública, las transferencias bancarias y bursátiles, aquellas otras realizadas en cumplimiento del Tratados, Acuerdos y Convenios internacionales de los cuales Colombia sea parte y las transferencias legalmente exigidas en aras a salvaguardar el interés público o el reconocimiento, ejercicio o defensa de un legitimo derecho en procedimientos judiciales.