Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
María Claudia Caviedes explica que no se debe crear una política de tratamiento por cada tipo de dato personal que contenga una base de datos. El responsable del tratamiento puede contar con una política unificada para el tratamiento de los datos personales que están registrados en sus bases.
María Claudia Caviedes, superintendente delegada para la protección de datos personales, afirma sobre el tema de protección de datos personales, que
«(…) se debe dar cumplimiento a todas las disposiciones contenidas en la Ley 1581 del 2012, en particular a los principios que rigen el tratamiento de los datos personales, a los deberes establecidos para los responsables y los encargados de dicho tratamiento y a los procedimientos para garantizar el ejercicio efectivo de los derechos por parte del titular de información».
Caviedes hace hincapié en que la Ley 1581 de 2012 estableció dos categorías especiales de datos personales: los datos sensibles y los datos de los niños, niñas y adolescentes.
«Respecto de estas categorías de datos personales debe atenderse con mayor rigor el cumplimiento de los principios que rigen el tratamiento y los deberes de los responsables y encargados, sin que por ello se descuide la protección de los datos personales que no hacen parte de tales categorías», explica.
Según lo establecido por el artículo 2 de la Ley 1581 de 2012, esta se aplica a los datos personales registrados en cualquier base de datos, física o automatizada, y solamente exceptúa de su aplicación a las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico; a las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo; a las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia; a las bases de datos y archivos de información periodística y otros contenidos editoriales; a las bases de datos y archivos regulados por la Ley 1266 de 2008 y a las bases de datos y archivos regulados por la Ley 79 de 1993.
«Lo anterior no implica que los datos personales contenidos en dichas bases no sean relevantes, solamente que no quedaron cobijados bajo el ámbito de aplicación de la misma y, en todo caso, a esos datos sí se les aplican los principios señalados por la Ley 1581 del 2012, como lo establece el parágrafo del artículo citado», recalca la superintendente delegada para la protección de datos personales.
Caviedes explica que no es necesario crear una política de tratamiento por cada tipo de dato personal que contenga una base de datos. El responsable del tratamiento puede contar con una política unificada para el tratamiento de los datos personales que están registrados en sus bases, dependiendo del análisis que lleve a cabo.
La Ley 1581 tampoco establece que se deba contratar más personal para cumplir con las disposiciones establecidas en la misma.
«No obstante, sí debe designarse a una persona o área, dentro de las que ya existen al interior de las empresas, que asuma la función de protección de datos personales para dar trámite a las solicitudes que presenten los titulares en ejercicio de su derecho fundamental a la protección de datos personales; así lo señaló el Decreto Único 1074 del 2015 en su Capítulo 25, artículo 2.2.2.25.4.4».
Finalmente, Caviedes habla sobre las consecuencias a las que se exponen las empresas que una vez pasado el plazo del 30 de junio de este año y no registren las bases de datos con las que cuenten. Dice Caviedes:
«Quienes no cumplan con el deber de registrar sus bases de datos serán sancionados con multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes; suspensión de las actividades relacionadas con el tratamiento hasta por un término de 6 meses; cierre temporal de las operaciones relacionadas con el tratamiento y cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles».
Fundada en el año 2000 con la misión de “elevar el nivel profesional del Contador Público”
