Por: German Realpe*
En los últimos días, muchas personas se han dado cuenta como en periódicos de amplia circulación nacional, correos electrónicos y en redes sociales, se informa a las personas sobre la aplicación de la Ley 1581 de 2012 y el Decreto 1377 de 2013, o ley de datos personales. Los avisos publicados por empresas en diferentes sectores le informan a sus clientes, empleados y proveedores, que tienen sus datos personales y que si no está interesado en que se usen, administren o gestionen en cualquier momento puede hacer uso del derecho fundamental de habeas data.
Este derecho consiste en conocer, actualizar y rectificar las informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas. (Artículo 15, Constitución Nacional)
Se debe resaltar, para los que no conocen el tema, que en Octubre de 2012 se expidió la ley de datos personales (Ley 1581 de 2012), la cual da una serie de obligaciones a todo tipo de empresas públicas y privadas, entre ellas:
- Contar con políticas de protección de datos.
- Tener mecanismos para actualizar, eliminar y consultar los datos personales.
- Contar con la autorización del titular de manera expresa e informada, ya sea de forma física o electrónica.
- Proteger los datos personales de niños, niñas y adolescentes.
- Utilizar mecanismos de seguridad para el manejo de datos personales y sensibles.
La Ley 1581 daba un plazo, de 6 meses para adecuar las obligaciones legales, el cual se venció en abril.
Como la Ley 1581 de 2012 ordenaba reglamentar algunos puntos en el manejo de datos personales, se expidió, el 27 de junio, el Decreto 1377 de 2013, el cual reglamenta parcialmente la ley de datos personales, y resalta que:
- Se debe contar con avisos de privacidad, que es una comunicación verbal o escrita que informa sobre la existencia de las políticas de protección de datos.
- Las empresas deben tener prueba de la autorización del titular para el manejo de datos personales.
- La autorización también se puede obtener por mecanismos técnicos que faciliten al titular su manifestación automatizada.
- Los encargados de tratamiento de datos deben implementar mecanismos gratuitos, y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
- Otras obligaciones y derechos que se pueden ver en el decreto 1377.
Una de las preguntas que muchos se hacen, es: ¿qué pasa con los datos que se recogieron antes de la expedición de la ley y el decreto?
El artículo 10 da una solución que para muchos es acertada pero que genera muchas dudas. El decreto menciona que si se genera una carga desproporcionada para recoger la autorización, se podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, página de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco días siguientes a su implementación.
El problema que se ha generado
Los últimos días los distintos diarios de circulación nacional se han llenado de avisos para dar cumplimiento al decreto. Por ejemplo, El Tiempo registro más de 10 de avisos en un solo día. En primer lugar se debe decir que se está confundiendo el aviso de privacidad con las políticas o la autorización. Algunas empresas lo están enviando por correo electrónico más de 4 veces al día, por lo que se convierte en spam.
Se debe resaltar que el mecanismo de aviso de prensa solo se debe usar cuando exista una carga desproporcionada. Existen otras formas para comunicar a los usuarios la política de manera eficiente.
Otras empresas están generando cargas absurdas para los usuarios. Ese el caso de operadores de telefonía, que dicen que los usuarios tienen que acercarse a sus oficinas o centros de servicios. Uno de los avisos en circulación decía que esto también facultaba a entregar datos a terceros, desconociendo por completo el principio de finalidad que menciona la ley.
Que un usuario no llame, no escriba o se de baja a un correo electrónico, no significa que este dando su consentimiento o autorización para el manejo de datos. Otras empresas publican el aviso y no tienen políticas o mecanismos de protección de datos personales.
La protección de datos no se hace de la noche a la mañana, la ley impone una obligación de control constante. En cualquier momento, el usuario puede exigir que su información sea eliminada –o actualizada- de la base de datos.
La protección de datos no debe verse solo por estos días que está de moda el decreto. Colombia se encuentra en una nueva era de protección de datos, que debe analizarse, asumirse, asesorarse y cumplirse con la debida calma.
______
* Consultor en Derecho Informático, Seguridad de la Información, Protección de Datos y Cloud Computing. Columnista revista impresa ENTER. CEO de Cloud Seguro.
por lo se convierte en spam……….
Ya, corregido. Gracias.
por lo se convierte en spam……….
Ya, corregido. Gracias.
Estoy en una empresa que maneja varias marcas de restaurantes. Ellos recogen información de sus clientes por medio de encuestas físicas (en papel) donde ingresan nombre, número telefónico, estrato, datos sobre el plato que consumió y su dirección de correo electrónico. Estos correos son usados para enviarles publicidad de nuestras marcas de restaurante y en ningún momento es suministrada a terceros. Ahora la pregunta: Sin importar el medio por el cual se haya recolectado los datos, ¿es necesario informar mediante correos electrónico u otro medio sobre el uso que se le está dando actualmente a la información de los usuarios?
Respuesta corta: Sí, deben hacerlo mediante correo electrónico u otro mecanismo de contacto que sea verificable (correo físico, registro de llamada). Respuesta larga: deben informarle a las personas de las que tengan sus datos que, efectivamente los poseen, establecer políticas de privacidad y de tratamiento de información, suministrar dichas políticas a los usuarios y solicitar de estos autorización explicita para que sus datos sean tratatos. Le conviene que se lea muy bien la ley 1581 de 2012 y el decreto 1377 de 2013 para que no tengan problemas legales en este asunto
Estoy en una empresa que maneja varias marcas de restaurantes. Ellos recogen información de sus clientes por medio de encuestas físicas (en papel) donde ingresan nombre, número telefónico, estrato, datos sobre el plato que consumió y su dirección de correo electrónico. Estos correos son usados para enviarles publicidad de nuestras marcas de restaurante y en ningún momento es suministrada a terceros. Ahora la pregunta: Sin importar el medio por el cual se haya recolectado los datos, ¿es necesario informar mediante correos electrónico u otro medio sobre el uso que se le está dando actualmente a la información de los usuarios?
Respuesta corta: Sí, deben hacerlo mediante correo electrónico u otro mecanismo de contacto que sea verificable (correo físico, registro de llamada). Respuesta larga: deben informarle a las personas de las que tengan sus datos que, efectivamente los poseen, establecer políticas de privacidad y de tratamiento de información, suministrar dichas políticas a los usuarios y solicitar de estos autorización explicita para que sus datos sean tratatos. Le conviene que se lea muy bien la ley 1581 de 2012 y el decreto 1377 de 2013 para que no tengan problemas legales en este asunto
De acuerdo a la ley es necesario informar en las políticas de protección de datos. Así mismo, existe el principio de finalidad cada base de datos debe tener una finalidad para su tratamiento
De acuerdo a la ley es necesario informar en las políticas de protección de datos. Así mismo, existe el principio de finalidad cada base de datos debe tener una finalidad para su tratamiento
Se les agradece mucho que la sugerencia que tocaran el tema se hayan tenido en cuenta, y de que forma, es un buen artículo y ayuda a dar luz en momentos en los que el bombardeo de información puede hacer que haya un desconocimiento real por parte de las personas, y abusos por parte de empresas, como bien han mencionado en el artículo. Tengo una duda, en caso que hayan puesto, sin mi autorización, datos personales mios en un newsletter de esos que envian correos (generalmente spam) sobre una o un par de sitios/empresas, ¿cómo puedo pedir que mis datos sean suprimidos definitivamente?
Se les agradece mucho que la sugerencia que tocaran el tema se hayan tenido en cuenta, y de que forma, es un buen artículo y ayuda a dar luz en momentos en los que el bombardeo de información puede hacer que haya un desconocimiento real por parte de las personas, y abusos por parte de empresas, como bien han mencionado en el artículo. Tengo una duda, en caso que hayan puesto, sin mi autorización, datos personales mios en un newsletter de esos que envian correos (generalmente spam) sobre una o un par de sitios/empresas, ¿cómo puedo pedir que mis datos sean suprimidos definitivamente?
Segun
la Ley 1581 de 2012 y el Decreto 1377 de 2013 las empresas pueden hacer
lo que quieran con mis datos a menos que yo exprese por escrito lo
contrario, pero segun la ley 1273 de enero de 2009, sancionada por el
expresidente Álvaro Uribe, por medio de la cual se modifica el Código
Penal y se crea un nuevo bien jurídico denominado ‘De la protección de
la información y de los datos’. Dice que el que sin estar facultado para
ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,
modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en
pena de prisión de 48 a 96 meses y en multa de 100 a 1.000 salarios
mínimos…
Entonces, que ley esta en vigor? Como proceder? es necesaria dicha desautorizacion concreta?
Las dos leyes están en vigor tanto la Ley 1273 con el delito de violación de datos que tiene temas penales y la Ley 1581 y el Decreto. Las personas tienen los dos mecanismos para hacer cumplir su derecho de habeas data. La autorización es necesaria esto bajo el principio de finalidad y circulación restringuida del dato como todo lo relacionado con la protección de datos. todo esto es muy importante para Colombia en la actualidad y en los días que vienen.
Segun
la Ley 1581 de 2012 y el Decreto 1377 de 2013 las empresas pueden hacer
lo que quieran con mis datos a menos que yo exprese por escrito lo
contrario, pero segun la ley 1273 de enero de 2009, sancionada por el
expresidente Álvaro Uribe, por medio de la cual se modifica el Código
Penal y se crea un nuevo bien jurídico denominado ‘De la protección de
la información y de los datos’. Dice que el que sin estar facultado para
ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,
modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en
pena de prisión de 48 a 96 meses y en multa de 100 a 1.000 salarios
mínimos…
Entonces, que ley esta en vigor? Como proceder? es necesaria dicha desautorizacion concreta?
Las dos leyes están en vigor tanto la Ley 1273 con el delito de violación de datos que tiene temas penales y la Ley 1581 y el Decreto. Las personas tienen los dos mecanismos para hacer cumplir su derecho de habeas data. La autorización es necesaria esto bajo el principio de finalidad y circulación restringuida del dato como todo lo relacionado con la protección de datos. todo esto es muy importante para Colombia en la actualidad y en los días que vienen.
Lo q yo no entiendo es ¿pq carajos tengo q gastar mi tiempo escribiéndoles a las empresas q poseen mis datos para q no hagan y deshagan con dicha información en vez de q simplemente ellos no puedan hacerlo sin mi autorización?
Lo q yo no entiendo es ¿pq carajos tengo q gastar mi tiempo escribiéndoles a las empresas q poseen mis datos para q no hagan y deshagan con dicha información en vez de q simplemente ellos no puedan hacerlo sin mi autorización?
Yo me comunique con la empresa que tiene mis datos para salir de dudas desde hace ya una semana y hasta la fecha no he visto una respuesta para poder parar esto del compartir datos…
Yo me comunique con la empresa que tiene mis datos para salir de dudas desde hace ya una semana y hasta la fecha no he visto una respuesta para poder parar esto del compartir datos…
Super bien, los artículos con apoyo de expertos son excelentes!!! Muy bueno y que bueno que nos aclaren mejor esto a nosotros los lectores.
Super bien, los artículos con apoyo de expertos son excelentes!!! Muy bueno y que bueno que nos aclaren mejor esto a nosotros los lectores.