Suscríbete
Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Empresas deben contar con una persona o área que asuma la función de protección de datos personales


Empresas deben contar con una persona o área que asuma la función de protección de datos personales
Actualizado: 22 agosto, 2016 (hace 8 años)

Aquí hablaremos sobre...

  • ¿Qué parte de la ley debe satisfacer una empresa para cumplir y qué otra se puede seguir trabajando posterior a la inscripción de la base de datos, sin incumplir?
  • ¿Qué es lo mínimo necesario que debe realizar una empresa para cumplir la ley?
  • ¿Qué condición puede afectar que un dato personal tenga más peso ante la ley, la frecuencia de su uso, el manejo o la característica del mismo?
  • ¿Cuál es el límite para que un dato deje de ser relevante para no tenerlo en cuenta ante la Ley de Protección de Datos Personales?
  • ¿Es necesario crear un documento o una política por cada tipo de dato personal que maneja una empresa o se puede reunir en un solo documento?
  • ¿Aplicar la ley de protección de datos significa que se debe contratar más personal para implementarlo y mantenerlo?
  • Con la inscripción en el registro nacional de bases de datos de una empresa y el reporte de las políticas del tratamiento de la información, ¿se podría decir que esta cumple con lo solicitado? ¿Qué más tiene que hacer la empresa?
  • ¿Se pueden comprar bases de datos de personas para utilizarlos con fines de comercio o publicidad?
  • ¿A qué se exponen las empresas que pasado el plazo del 8 de noviembre no registren las bases de datos con las que cuentan?

María Claudia Caviedes, superintendente delegada para la protección de datos personales, afirma que las empresas deben cumplir todas las disposiciones contenidas en la Ley 1581 del 2012, particularmente los principios que rigen el tratamiento de datos personales.

¿Qué parte de la ley debe satisfacer una empresa para cumplir y qué otra se puede seguir trabajando posterior a la inscripción de la base de datos, sin incumplir?

La Ley 1581 se sancionó el 17 de octubre del 2012 y según el artículo 28 se contó con 6 meses para que las empresas adecuaran sus operaciones a las disposiciones contempladas en esta. En consecuencia, a partir del 17 de abril del 2013, fecha en que venció ese régimen de transición fijado por la propia ley, las empresas deben estar cumplimiento todas las disposiciones contenidas en dicha norma.

¿Qué es lo mínimo necesario que debe realizar una empresa para cumplir la ley?

Se debe dar cumplimiento a todas las disposiciones contenidas en la Ley 1581 del 2012, en particular a los principios que rigen el tratamiento de los datos personales, a los deberes establecidos para los responsables y los encargados de dicho tratamiento y a los procedimientos para garantizar el ejercicio efectivo de los derechos por parte del titular de información.

¿Qué condición puede afectar que un dato personal tenga más peso ante la ley, la frecuencia de su uso, el manejo o la característica del mismo?

La Ley 1581 del 2012 estableció dos categorías especiales de datos personales: los datos sensibles y los datos de los niños, niñas y adolescentes. Respecto de estas categorías de datos personales debe atenderse con mayor rigor el cumplimiento de los principios que rigen el tratamiento y los deberes de los responsables y encargados, sin que por ello se descuide la protección de los datos personales que no hacen parte de tales categorías.

¿Cuál es el límite para que un dato deje de ser relevante para no tenerlo en cuenta ante la Ley de Protección de Datos Personales?

De acuerdo con lo establecido en el artículo 2 de la Ley 1581 del 2012, esta se aplica a los datos personales registrados en cualquier base de datos, física o automatizada, y solamente exceptúa de su aplicación las siguientes:

  • A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
  • A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
  • A las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
  • A las bases de datos y archivos de información periodística y otros contenidos editoriales.
  • A las bases de datos y archivos regulados por la Ley 1266 del 2008.
  • A las bases de datos y archivos regulados por la Ley 79 de 1993.
“No es necesario crear una política de tratamiento por cada tipo de dato personal que contenga una base de datos”

Lo anterior no implica que los datos personales contenidos en dichas bases no sean relevantes, solamente que no quedaron cobijados bajo el ámbito de aplicación de la misma y, en todo caso, a esos datos sí se les aplican los principios señalados por la Ley 1581 del 2012, como lo establece el parágrafo del artículo citado.

¿Es necesario crear un documento o una política por cada tipo de dato personal que maneja una empresa o se puede reunir en un solo documento?

No es necesario crear una política de tratamiento por cada tipo de dato personal que contenga una base de datos. El responsable del tratamiento puede contar con una política unificada para el tratamiento de los datos personales que están registrados en sus bases, dependiendo del análisis que lleve a cabo.

¿Aplicar la ley de protección de datos significa que se debe contratar más personal para implementarlo y mantenerlo?

La Ley 1581 del 2012 no establece que deba contratarse más personal para cumplir con las disposiciones establecidas en la misma. No obstante, sí debe designarse a una persona o área, dentro de las que ya existen al interior de las empresas, que asuma la función de protección de datos personales para dar trámite a las solicitudes que presenten los titulares en ejercicio de su derecho fundamental a la protección de datos personales; así lo señaló el Decreto Único 1074 del 2015 en su Capítulo 25, artículo 2.2.2.25.4.4.

Con la inscripción en el registro nacional de bases de datos de una empresa y el reporte de las políticas del tratamiento de la información, ¿se podría decir que esta cumple con lo solicitado? ¿Qué más tiene que hacer la empresa?

La inscripción de las bases de datos en el Registro Nacional de Bases de Datos es solamente una de las obligaciones que, de acuerdo con lo establecido en la Ley 1581 del 2012, deben cumplir los responsables del tratamiento. Por lo tanto, su cumplimiento no comporta el de las demás. Se reitera entonces que las empresas deben dar cumplimiento a todas las disposiciones contenidas en la Ley 1581 del 2012, en particular, a los principios que rigen el tratamiento de los datos personales, a los deberes establecidos para los responsables y los encargados de dicho tratamiento y a los procedimientos para garantizar el ejercicio efectivo de los derechos por parte del titular de información.

¿Se pueden comprar bases de datos de personas para utilizarlos con fines de comercio o publicidad?

Para el tratamiento de datos personales, es decir, la recolección, uso, circulación, etc., es necesario contar con la autorización previa, expresa e informada del titular, lo que implica que la finalidad para la cual se utilicen esos datos debe corresponder con la que le fue informada a este al momento de pedir su consentimiento para el tratamiento de su información personal.

¿A qué se exponen las empresas que pasado el plazo del 8 de noviembre no registren las bases de datos con las que cuentan?

Quienes no cumplan con el deber de registrar sus bases de datos serán sancionados con:

  • Multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes.
  • Suspensión de las actividades relacionadas con el tratamiento hasta por un término de 6 meses.
  • Cierre temporal de las operaciones relacionadas con el tratamiento.
  • Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Material relacionado

Más artículos sobre

Derecho Comercial

ACTUALIDADDerecho LaboralAuditoría y revisoría fiscalEstándares InternacionalesFinanzasImpuestosPropiedad HorizontalDesarrollo ProfesionalContabilidad

Bases de datos

Evite sanciones de la SIC por no cumplir con la política de protección de datos personales

SIC ratifica orden a Uber para garantizar seguridad de datos personales

Tratamiento de datos personales: Superindustria realizó advertencias a establecimientos comerciales

Establecimientos de comercio no podrán abusar de la solicitud de datos personales

Entrevista

"El régimen público de pensiones es regresivo y entrega subsidios altos a quien no los necesita"

Honorarios: no se trata de que el contador cobre por cobrar, sino de generar valor a la labor realizada

"Los honorarios para contadores públicos están determinados por la ley de oferta y demanda"

“Hay una debilidad en todos los contadores públicos y se llama cultura contable”

Registro Nacional de Bases de Datos

Tratamiento de datos personales: Superindustria realizó advertencias a establecimientos comerciales

Sanciones por incumplimiento del registro nacional de bases de datos –RNBD–

¿Quiénes deben cumplir con el registro nacional de bases de datos?

Registro nacional de bases de datos: proceso de inscripción, medios, plazos y obligados

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,