“Colombia tiene un marco robusto en protección de datos”
La SIC puede imponer sanciones de hasta 2.000 salarios mínimos mensuales vigentes
16 de abril de 2018El conocimiento sobre los derechos que tienen los ciudadanos y las empresas en relación con el manejo de sus datos personales es un área que requiere mucha atención, para saber cómo y en qué momento autorizar su uso por parte de terceros. En diálogo con AL, Luz Helena Adarve y Juanita Acosta, socias de Dentons Cárdenas & Cárdenas, explicaron algunas generalidades de la protección de datos en el país.
¿Cuáles son las disposiciones jurídicas en Colombia en torno a la protección de datos personales?
Colombia tiene un marco regulatorio bastante robusto en relación con los datos personales, está enmarcado en nuestra Constitución. Actualmente hay 24 leyes, 14 decretos en temas de internet, además de otras disposiciones de ciberseguridad, privacidad y de IT.
¿Cuáles son las más importantes?
Hay unas básicas que hablan de datos personales, que traen el Habeas Data como derecho fundamental, como la Ley 1266 de 2008, que tiene el calculador de riesgo crediticio, la Ley 1273 que crea tipos penales a través de la información de datos, y la Ley 1581. Luego viene el decreto 1377 de 2013, que es la figura única de la SIC, una regulación mucho más específica en temas de Habeas Data.
¿Cómo está la regulación frente a otros países?
En el mundo existen dos grandes legislaciones basadas en principios diferentes. Una es la europea, que está basada en un derecho fundamental como en Colombia, que es el derecho a la privacidad y el Habeas Data, derecho al buen nombre. La otra es la de EE.UU. que no deriva de un derecho fundamental, sino de la responsabilidad.
¿Cómo interactúan estas corrientes entre sí?
Colombia está fundamentada en la legislación europea y en el hecho de que el Habeas Data de sea un derecho fundamental del individuo. Cuando salió la Ley 1581 causó la dificultad sobre cómo o cuáles países garantizaban o no, el mismo nivel de protección que la ley colombiana para poder facilitar o garantizar el tránsito y la transferencia de datos entre Colombia y otros países del mundo.
¿De qué manera se puede establecer esa relación con países de otras corrientes?
En los países donde la SIC no considera que hay una legislación adecuada, hay trámites adicionales para transferir datos, así como para los países que se consideran de protección adecuada, con los mismos niveles o mayores a los estándares de la ley colombiana. En esos casos es más fácil hacer una transferencia de datos y albergar la formación en centros de datos, porque se presupone que tiene por lo menos la protección mínima de Colombia.
¿Qué debe hacer una compañía que necesite un intercambio con países con baja protección?
En esos casos, si hay una compañía que va a compartir datos hacia un país que no cuenta con el nivel adecuado protección, la ley colombiana contempla un procedimiento para la obtención de una certificación de conformidad, que es un procedimiento que se adelanta ante la SIC.
¿Cómo es el procedimiento?
Básicamente es pedirle a ese país sus leyes en protección de datos y la Superindustria confirma que las normas tienen al menos los mismos principios que tenemos aquí y ellos, de alguna manera, le dan la bendición a ese país, que no está inicialmente aprobado para esa operación puntual y conceden ese certificado.
¿Esta es la única manera?
También hay excepciones y una de ellas es tener el consentimiento del titular para hacer la transferencia. El tema es bien complejo, pero hay unas protecciones donde la norma general dice que le se prohibe la transferencia de datos personales de cualquier tipo de datos que no proporcione los niveles adecuados de protección. Esta prohibición nos obliga a tener autorización expresa del titular de los datos o cuando se cumplen cinco puntos específicos.
¿Cuáles son esos puntos?
El primero es que se transmita a países con nivel adecuado de protección, el segundo es que haya autorización del titular de los datos. Las otras aplican de igual manera y es cuando hay un intercambio de datos de carácter médico, por cuestiones de salud e higiene pública y cuando son transferencias bancarias o financieras. Otro es cuando son acordadas en el marco de acuerdos internacionales, cuando son necesarias para un contrato o para la discusión de medidas precontractuales, siempre y cuando se cuente con la autorización del titular.
¿Esto quiere decir que los datos se pueden manejar, siempre y cuando haya autorización?
La ley colombiana está fundamentada en el consentimiento expreso del titular de los datos. Cuando tengo en frente mío una solicitud de un tercero, de una compañía o de quien sea, para hacer el tratamiento de mis datos, esa autorización tiene unos requisitos y el más importante de todos es que esa autorización tiene que informar al titular del dato y debe decir cuál es la finalidad para la cual se va a hacer el tratamiento.
¿Los datos personales se pueden usar para temas políticos o solamente para marketing?
Una finalidad puede ser para estadísticas, otras pueden ser marketing, tener récords históricos, temas de salud, por ejemplo, entonces va a depender mucho de la finalidad para la cual el titular del dato extendió su autorización y no se debe entender que quien autorizó cambie la finalidad, se tiene que pedir una nueva autorización.
¿Cuáles son las multas?
La Superintendencia de Industria y Comercio tiene a su cargo la posibilidad de imponer las sanciones que están establecidas en la ley y las sanciones se refieren a muchas de carácter personal e institucional. Son de hasta 2.000 salarios mínimos mensuales legales vigentes, y suspensiones de las actividades en relación con el tratamiento de datos.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp