Ley 1581 de 2012: Guía para implementar un sistema de protección de datos personales y adaptarse a los cambios recientes

Ley 1581 de 2012 protección de datos personales

Ley 1581 de 2012

¿Alguna vez has recibido llamadas de empresas desconocidas ofreciéndote servicios, o has querido cancelar mensajes de texto de una tienda, pero no sabes cómo? 

En un mundo digitalizado, la protección de datos personales es más importante que nunca para evitar el mal uso de la información. Con el avance de tecnologías como la inteligencia artificial y la nube, garantizar la privacidad de los datos es esencial para prevenir riesgos y vulneraciones de seguridad. 

Esta guía te ayudará a implementar un sistema de protección de datos en tu empresa, cumpliendo con la ley y fortaleciendo la confianza de tus clientes.

Te invitamos a leer: Ruta de aprendizaje servicio Matriz Legal

¿Qué es la ley 1581 de 2012?

La Ley 1581 de 2012 establece las disposiciones generales para la protección de datos personales en Colombia, definiendo cómo las organizaciones deben recolectar, almacenar y usar la información de manera ética. Más que una obligación legal, esta ley busca construir relaciones basadas en la confianza entre empresas y clientes. 

Consulta la Ley 1581 de 2012

Exige que las empresas identifiquen claramente el propósito de la recolección de datos, obtengan autorizaciones explícitas de los titulares y ofrezcan mecanismos para consultas y reclamaciones, lo que fortalece la reputación de las organizaciones y protege los derechos de los ciudadanos.

¿qué son datos personales?

Como lo indica su nombre, son datos que pertenecen a una persona, por ejemplo aquellos que tengan relación con información como: salud, creencias religiosas, información comercial, transacciones financieras, situación familiar, ingresos, raza, salario, ideología política, orientación sexual, profesión, datos de contacto, entre muchos otros.

¿Cómo se clasifican los datos personales?

La Ley 1581 de 2012 establece una serie de derechos fundamentales para los titulares de datos personales, diseñados para garantizar la protección de su privacidad y el control sobre su información. A continuación, se describen estos derechos y cómo pueden ejercerse:

1. Derecho a conocer

Los titulares tienen el derecho de solicitar información sobre los datos personales que una empresa o entidad ha recopilado sobre ellos y cómo se están utilizando.

Ejemplo: un cliente puede solicitar a una tienda en línea un informe detallado sobre los datos personales que han sido recolectados, como nombre, dirección y preferencias de compra.

Plazo legal: las empresas tienen un máximo de 10 días hábiles para responder a la solicitud.

2. Derecho a actualizar y rectificar

Los titulares pueden actualizar información incorrecta o incompleta y rectificar datos que consideren inexactos.

Ejemplo: un empleado puede pedir a su empresa que actualice su dirección de correo electrónico en la base de datos de recursos humanos.

Plazo legal: la respuesta debe darse dentro de los 15 días hábiles siguientes a la solicitud.

3. Derecho a solicitar prueba de la autorización

El titular puede requerir la evidencia de que otorgó su consentimiento para el tratamiento de sus datos.

Ejemplo práctico: un usuario puede pedir a una aplicación de entrega de comida que le muestre la autorización que firmó al aceptar los términos y condiciones.

Plazo legal: el plazo máximo para entregar esta prueba es de 10 días hábiles.

4. Derecho a revocar la autorización y/o solicitar la supresión de los datos

Los titulares pueden retirar el consentimiento dado para el tratamiento de sus datos personales o pedir que se eliminen de las bases de datos si no hay una obligación legal para conservarlos.

Ejemplo práctico: Un cliente solicita a una empresa de telecomunicaciones eliminar sus datos después de terminar un contrato de servicio.

Plazo legal: La solicitud debe ser atendida dentro de los 15 días hábiles, siempre que no existan restricciones legales para conservar la información.

5. Derecho a presentar reclamos ante la Superintendencia de Industria y Comercio (SIC)

Si el titular considera que sus derechos han sido vulnerados, puede interponer un reclamo ante la SIC para que esta investigue y tome las medidas necesarias.

Ejemplo práctico: un consumidor reporta a la SIC que una empresa compartió sus datos con terceros sin autorización.

Plazo legal: antes de acudir a la SIC, el titular debe haber presentado primero el reclamo directamente a la empresa involucrada y esperar hasta 15 días hábiles para su resolución.

6. Derecho a ser informado sobre cambios en la política de privacidad

Los tiulares deben ser notificados de cualquier modificación que afecte la forma en que sus datos son tratados.

Ejemplo práctico: Una empresa envía un correo electrónico a sus clientes informándoles sobre un cambio en su política de manejo de datos personales, explicando cómo afecta a los usuarios y ofreciendo la opción de retirar su autorización.

También te puede interesar: Auditoría interna: estrategias y buenas prácticas para empresas

Cambios recientes y tendencias en protección de datos personales

La Ley 1581 de 2012, aunque ha sido una base sólida para la protección de datos personales en Colombia, ha experimentado ajustes y se encuentra en constante evolución. A medida que surgen nuevas tecnologías y metodologías de procesamiento de datos, se hace necesario adaptarse a los cambios para asegurar que las políticas de privacidad sigan siendo efectivas y pertinentes.

  • Actualización del marco normativo: en 2021, se incluyeron nuevas disposiciones en la ley que refuerzan el control sobre el uso de datos personales, buscando aumentar la transparencia y el acceso de los titulares a la información relacionada con sus datos.
  • Aumento de las sanciones: las multas por no cumplir con la ley han aumentado significativamente. Empresas que no implementen mecanismos adecuados para la protección de datos personales pueden enfrentarse a sanciones más severas, lo que resalta la importancia de cumplir con los requisitos legales.
  • Aceleración de la digitalización: la digitalización de los procesos de recolección y tratamiento de datos personales ha llevado a la creación de nuevas plataformas que permiten una gestión más eficiente y segura de la información, facilitando la autorización y el control por parte de los titulares.
  • El rol de la Superintendencia de Industria y Comercio (SIC): la SIC ha intensificado su supervisión y control sobre las empresas que manejan datos personales, aplicando sanciones y proporcionando directrices más claras sobre cómo las empresas deben proteger la información de los usuarios.
  • Tendencia hacia la anonimización de datos: cada vez más empresas optan por técnicas de anonimización para minimizar los riesgos asociados al uso de datos personales. Esta tendencia busca garantizar que la información recopilada no pueda ser atribuida a individuos sin su consentimiento, fortaleciendo la seguridad y la privacidad.

¿Cómo implementar un sistema de protección de datos personales en tu empresa?

Aunque este tema tiene muchísima tela para cortar, a continuación te explicaré una serie de pasos que te serán de utilidad para implementar un sistema de gestión y protección de datos personales en tu empresa, o bien; si ya cuentas con uno, para validar que se estén aplicando.

Paso 1: Establece la responsabilidad de la protección de datos personales

Paso 2: Determina la finalidad de la recolección de datos personales y establece la política de privacidad

Paso 3: Informa al titular y solicita su autorización expresa

Paso 4: Establece mecanismos de atención de requerimientos

Paso 5: Haz el inventario de bases de datos personales

Paso 6: Capacita a todo el personal

Paso 7: Identifica y gestiona los riesgos de los datos personales

Paso 8: Atiende los requerimientos de manera clara y oportuna

Paso 9: Reporta y gestiona incidentes

Paso 10: Actualiza tu sistema según nuevas normativas y tendencias

Paso 1: Establece la responsabilidad de la protección de datos personales

Define un oficial de privacidad o equipo responsable de la protección de los datos personales en tu organización. Si bien esta persona o equipo velará por la protección de los datos personales, la responsabilidad es de todos los colaboradores de la empresa.

Establece la responsabilidad de la protección de datos personales

Paso 2: Determina la finalidad de la recolección de datos personales y establece la política de privacidad

Determina los datos personales que tu empresa recolecta o desea recolectar, así como el uso que darás a estos datos. Esta información será clave para que puedas establecer la política de tratamiento de datos personales, que será el corazón de tu sistema de protección de datos personales.

Paso-2-Determina-la-finalidad-de-la-recolección-de-datos-personales-y-establece-la-política-de-privacidad

Paso 3: Informa al titular y solicita su autorización expresa

Cuando recolectes datos personales, debes informar al titular sobre la finalidad y uso de los mismos. Este deberá suministrar autorización expresa, que debes conservar como evidencia.

Estrategia práctica: implementa plataformas digitales que automaticen este proceso, permitiendo consultas rápidas y seguras sobre los consentimientos otorgados. Además, envía recordatorios periódicos a los usuarios sobre los permisos que han otorgado, dándoles la posibilidad de revocarlos fácilmente.

Informa al titular y solicita su autorización expresa

Paso 4: Establece mecanismos de atención de requerimientos

Determina mecanismos para la recepción de requerimientos referentes a sus datos personales: consulta, actualización, rectificación o reclamos. Para ello puedes establecer canales tales como formulario web, buzones, líneas telefónicas o direcciones de correo electrónico.

Establece mecanismos de atención de requerimientos

Paso 5: Haz el inventario de bases de datos personales

Determina las bases de datos que contengan datos personales, ya sean privados, sensibles o públicos. ¡Ojo! Base de datos no significa necesariamente que sea software o un sistema de información. Una base de datos puede ser el archivador con las hojas de vida físicas del personal de la compañía.

Si tu organización tiene más de 100.000 UVTs en activos totales, deberás registrar las bases de datos en el Registro Nacional de Bases de datos (RNBD) como lo establece el Decreto 090 de 2018.

Registra tus bases de datos en el RNBD

inventario-de-bases-de-datos-personales

Paso 6:  Capacita a todo el personal

Puede parecerte excesivo capacitar a todo el personal en protección y tratamiento de datos personales, pero la historia nos cuenta que es totalmente necesario. Hay tristes historias de grandes empresas en Colombia que han tenido que pagar millonarias multas, debido a la nula o insuficiente información que dio un asesor de un call center, o la omisión de un área de Servicio al cliente u Operaciones en la atención de un requerimiento de actualización o corrección de datos personales.

Capacitar a todo el personal

Paso 7: Identifica y gestiona los riesgos de los datos personales

Identifica los posibles riesgos en los que puedan incurrir los datos personales en las actividades o procesos que realiza tu organización. Analízalos, evalúalos y determina los controles y planes de tratamiento para evitar su materialización. Por ejemplo, incluye cláusulas de confidencialidad y manejo de datos personales en todos los contratos que firme la empresa (empleados, proveedores, alianzas).

Paso 7: Identifica y gestiona los riesgos de los datos personales

Paso 8: Atiende los requerimientos de manera clara y oportuna

Cuando recibas requerimientos de actualización, corrección de datos personales por parte del titular, atiéndelos dentro de los plazos que hayas determinado para ello y contesta siempre de manera clara y concisa.

Atiende los requerimientos de manera clara y oportuna

Paso 9: Reporta y gestiona incidentes

Identifica y gestiona los incidentes relacionados con los datos personales; por ejemplo, una vulneración a un sistema de información o un acceso no autorizado a un espacio físico que almacena datos personales. 

Reportar y gestionar incidentes

Paso 10: Actualiza tu sistema según nuevas normativas y tendencias

El entorno legal y tecnológico está en constante evolución. Por eso, es fundamental revisar y actualizar periódicamente las políticas y procesos de protección de datos personales.

Estrategia práctica: establece una revisión anual obligatoria de tu sistema de protección de datos, considerando nuevos avances tecnológicos, riesgos emergentes y cambios regulatorios. Participa en capacitaciones o seminarios sobre normativa de datos personales para mantenerte actualizado

Volviendo a nuestras preguntas iniciales, reflexionemos un poco:

¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos?

  • ¿Será tu empresa la que está efectuando estas llamadas a personas que no han autorizado sus datos para tal fin? 
  • ¿Tienes forma de demostrar que la persona a la que estás llamando autorizó el uso de sus datos?
  • ¿Compraste la base de datos a un tercero y validaste que el tercero tuviera autorización para transferirte dicha información? Si es así, ¿notificaste a esas personas de que ahora tienes sus datos?

¿O qué eres cliente de alguna tienda que no para de enviarte mensajes de texto y quieres anular la suscripción, pero no sabes cómo?

  • ¿Tu empresa tiene claros los procesos para la atención de requerimientos de privacidad?
  • ¿Tu empresa tiene mecanismos para recibir requerimientos de privacidad que sean conocidos por los titulares de los datos personales?
  • ¿Tu empresa conoce los plazos máximos para responder los requerimientos de privacidad de acuerdo a lo establecido por la SIC?
  • ¿Tienes claro que si no respondes en los tiempos definidos por la SIC, el titular puede escalar el caso directamente ante la SIC?

En cualquiera de estos casos, recuerda que como titular de datos personales tienes derechos y como responsable del tratamiento tienes deberes. 

La Ley 1581 de 2012 es fundamental para garantizar la protección de los datos personales en Colombia, y su cumplimiento es esencial para mantener la confianza de los usuarios y evitar sanciones. Implementar un sistema de gestión de protección de datos personales no solo es una obligación legal, sino una excelente oportunidad para mejorar la seguridad de la información en tu empresa, optimizar los procesos y garantizar que los derechos de los titulares de datos sean respetados.

Si aún no has implementado un sistema de protección de datos personales o necesitas asesoría para actualizar el que ya tienes, en kawak® podemos ayudarte. ¡No dejes que los cambios te tomen por sorpresa! Contacta con nosotros hoy mismo y comienza a proteger lo más valioso: los datos de tus usuarios.

kawak solicita demo gratis

 

¿Tienes más preguntas? ¿Necesitas solucionar un tema en particular?

 

Posts recientes

Suscríbete aquí a nuestro blog:

Nueva llamada a la acción