Ley de Protección de Datos Personales 1581 de 2012 y sus decretos reglamentarios. Cuando por una u otra razón tengamos que dar información personal y/o familiar, siempre nos inquieta el hecho que nuestros datos estén rodando de entidad a entidad o de mano en mano, incluso que lleguen a ser usados ilícitamente.
Por ello, se creó la Ley Estatutaria 1581 de 2012 para la Protección de datos personales que, desde que se promulgó, no había sido muy precisa en lo relacionado con su ámbito de aplicación; empero con sus decretos reglamentarios como el 1377 de 2013, el 1074 de 2015, el 1759 de 2016, las Circulares Externas 001 de 2016, la 001 de 2017 de la Superintendencia de Industria y Comercio, y más recientemente con el Decreto 090 del 18 de enero de 2018.
Para mayor claridad precisemos lo siguiente:
- ¿A qué se le denomina datos personales?
A cualquier información relacionada con la persona física, de naturaleza privada, unido a su intimidad y que toque temas sensibles que puedan ocasionar que la persona se sienta marginada por razones de género, de raza, política, etc.
- ¿En qué radica la importancia de los datos personales?
Como ya se mencionó, esta información puede usarse para múltiples fines como la comercialización (empresas, bancos, entre otros), la vida laboral y para fines ilícitos como la comisión de delitos (estafas, fraudes, hurtos, etc.), pues su identidad personal puede ser usurpada para engañar a otros.
- ¿Cómo se protegen estos datos personales?
Tomando medidas a nivel técnico, dependiendo de la posición que se tenga frente a la información bien como titular de la misma, o como persona jurídica (entidades públicas, empresas de distintos sectores, de redes sociales, etc.) que haga uso de mecanismos idóneos para la protección de las bases de datos, y medidas jurídicas como leyes y decretos que regulen todo lo concerniente al tema, garantizando que la información de cualquier base de datos esté segura contra cualquier intento de personas no autorizadas que pretenden acceder a ella, con el fin de utilizarla ilegalmente.
La Ley 1581 de 2012, estableció un régimen de transición de 6 meses para que los titulares de estos datos personales, o de las bases de datos en las empresas obligadas a su cumplimiento tuvieran este tiempo para adaptarse a lo reglamentado por ella.
Una vez finalizado este plazo, la Ley citada comenzó a regir el 19 de abril del 2013, exigiendo que los datos personales registrados tuvieran el adecuado tratamiento según los principios de administración ya contemplados en la Ley 1266 de 2008 (veracidad o calidad de los registros de datos, finalidad, circulación restringida, temporalidad de la información, interpretación integral de derechos constitucionales, seguridad y confidencialidad), agregando tres más como son el de legalidad, libertad y transparencia, configurándose en el escenario fundamental para la protección del derecho fundamental de hábeas data, es decir, el derecho a conocer la información de las bases de datos, su actualización y su rectificación.
Este procedimiento ha permitido que la Superintendencia de Industria y Comercio (SIC) haya abierto miles de investigaciones e impuesto cientos de sanciones por valores superiores a los 5.000 millones de pesos durante el año 2012; por lo cual es esencial que se implementen mecanismos de seguridad más rigurosos que permitan garantizar el método adecuado de la información registrada en las bases de datos y que sea el mecanismo idóneo para la oportuna atención de las PQR de los ciudadanos ante las distintas entidades y empresas.
La Superintendencia de Industria y Comercio es la autoridad encargada de la protección de datos, con facultades para vigilar todos los sectores de la economía donde se requiera la obtención de información personal por parte de entidades públicas o privadas.
Las políticas de tratamiento de las personas titulares de los datos personales son:
1). Anunciarla como tal (y a los cinco días siguientes de la comunicación, enviar carta comunicándolo a la Superintendencia de Industria y Comercio).
2). Formato de autorización diligenciado por los titulares de datos recolectados previamente.
3). Fijar el canal electrónico y físico para recibir las autorizaciones.
4). Indicar en el anuncio la política de tratamiento de la información personal.
5). Definir el conducto regular y los medios físicos y electrónicos para que el titular de los datos personales ejecute sus derechos de acceso, rectificación y supresión.