Protección de los Datos Personales

Ahora, con la entrada en vigencia de la Ley 1581 de 2012, empieza una nueva era en la regulación de los datos personales en Colombia.

¿Quiénes están sujetos a la aplicación de esta ley?
De conformidad con la norma, todas aquellas personas de carácter público o privado que desarrollen funciones de recolección, almacenamiento, uso, circulación o supresión de cualquier clase de datos (acciones reconocidas por la Ley como “tratamiento” de datos personales), que estén o puedan ser vinculados o asociados a una persona natural (datos personales como el nombre, teléfono, dirección, etc.), deberán regirse por las disposiciones de la nueva ley.

Adicionalmente, en virtud de normas y tratados internacionales, la ley también será aplicable a los encargados y responsables del tratamiento de datos que no se encuentren en territorio colombiano. No obstante lo anterior, hasta el momento no existe regulación a este respecto, por lo que en principio se entiende que la ley le es aplicable solo a aquellas personas que se encuentren dentro del territorio nacional.

¿Qué se debe tener en cuenta en el tratamiento de datos?
En razón de los principios de libertad y finalidad consagrados en la ley, las personas de carácter público o privado que realicen tratamiento de datos personales deberán contar con la autorización expresa del titular para la recolección, almacenamiento, uso, circulación o supresión de la información. Además, previo a la obtención de su consentimiento, el titular deberá ser informado acerca de la finalidad del tratamiento de los datos personales, y solo podrá tratarse la información conforme a las finalidades autorizadas.

Asimismo, el suministro de los datos personales a terceros deberá ser autorizado de manera previa y expresa por el titular de la información.

¿Qué hacer si existe una violación en la seguridad de la información?
De conformidad con el principio de seguridad establecido en la norma, el encargado o responsable del tratamiento de datos personales deberán tomar las medidas técnicas, humanas y administrativas necesarias para asegurar la protección de la información. Así, dentro de los deberes establecidos se encuentra el de informar a la autoridad cuando se presenten violaciones en los códigos de seguridad o cuando existan riesgos en la administración de la información.

Si bien la norma consagra esta obligación en cabeza de las personas encargadas del tratamiento de la información, la ley no precisa a partir de qué momento, ni en qué forma, deberá notificarse a la autoridad cuando exista una violación o riesgo de violación en la seguridad de los datos personales. No obstante, mientras se desarrolla reglamentación al respecto, lo más recomendable es que ante una situación de violación en la seguridad, los encargados y responsables informen a la autoridad de manera inmediata.

¿Cuál es la autoridad nacional encargada de la protección de datos personales?
La Superintendencia de Industria y Comercio es la autoridad encargada de la protección de datos personales. Para estos efectos, a partir de la expedición de la nueva ley, se creó una Delegatura para la Protección de Datos Personales, la cual se encuentra facultada para ejercer la vigilancia en el tratamiento de este tipo de datos.