Ley 1581 de 2012: Guía para implementar un sistema de protección de datos personales y adaptarse a los cambios recientes

Escrito por Carolina Valbuena
abr 26, 2019

Ley 1581 de 2012
¿Alguna vez has recibido llamadas de empresas desconocidas ofreciéndote servicios, o has querido cancelar mensajes de texto de una tienda, pero no sabes cómo?
En un mundo digitalizado, la protección de datos personales es más importante que nunca para evitar el mal uso de la información. Con el avance de tecnologías como la inteligencia artificial y la nube, garantizar la privacidad de los datos es esencial para prevenir riesgos y vulneraciones de seguridad.
Esta guía te ayudará a implementar un sistema de protección de datos en tu empresa, cumpliendo con la ley y fortaleciendo la confianza de tus clientes.
Te invitamos a leer: Ruta de aprendizaje servicio Matriz Legal
¿Qué es la ley 1581 de 2012?
La Ley 1581 de 2012 establece las disposiciones generales para la protección de datos personales en Colombia, definiendo cómo las organizaciones deben recolectar, almacenar y usar la información de manera ética. Más que una obligación legal, esta ley busca construir relaciones basadas en la confianza entre empresas y clientes.
Exige que las empresas identifiquen claramente el propósito de la recolección de datos, obtengan autorizaciones explícitas de los titulares y ofrezcan mecanismos para consultas y reclamaciones, lo que fortalece la reputación de las organizaciones y protege los derechos de los ciudadanos.
¿qué son datos personales?
Como lo indica su nombre, son datos que pertenecen a una persona, por ejemplo aquellos que tengan relación con información como: salud, creencias religiosas, información comercial, transacciones financieras, situación familiar, ingresos, raza, salario, ideología política, orientación sexual, profesión, datos de contacto, entre muchos otros.
¿Cómo se clasifican los datos personales?
La Ley 1581 de 2012 establece una serie de derechos fundamentales para los titulares de datos personales, diseñados para garantizar la protección de su privacidad y el control sobre su información. A continuación, se describen estos derechos y cómo pueden ejercerse:
1. Derecho a conocer
Los titulares tienen el derecho de solicitar información sobre los datos personales que una empresa o entidad ha recopilado sobre ellos y cómo se están utilizando.
Ejemplo: un cliente puede solicitar a una tienda en línea un informe detallado sobre los datos personales que han sido recolectados, como nombre, dirección y preferencias de compra.
Plazo legal: las empresas tienen un máximo de 10 días hábiles para responder a la solicitud.
2. Derecho a actualizar y rectificar
Los titulares pueden actualizar información incorrecta o incompleta y rectificar datos que consideren inexactos.
Ejemplo: un empleado puede pedir a su empresa que actualice su dirección de correo electrónico en la base de datos de recursos humanos.
Plazo legal: la respuesta debe darse dentro de los 15 días hábiles siguientes a la solicitud.
3. Derecho a solicitar prueba de la autorización
El titular puede requerir la evidencia de que otorgó su consentimiento para el tratamiento de sus datos.
Ejemplo práctico: un usuario puede pedir a una aplicación de entrega de comida que le muestre la autorización que firmó al aceptar los términos y condiciones.
Plazo legal: el plazo máximo para entregar esta prueba es de 10 días hábiles.
4. Derecho a revocar la autorización y/o solicitar la supresión de los datos
Los titulares pueden retirar el consentimiento dado para el tratamiento de sus datos personales o pedir que se eliminen de las bases de datos si no hay una obligación legal para conservarlos.
Ejemplo práctico: Un cliente solicita a una empresa de telecomunicaciones eliminar sus datos después de terminar un contrato de servicio.
Plazo legal: La solicitud debe ser atendida dentro de los 15 días hábiles, siempre que no existan restricciones legales para conservar la información.
5. Derecho a presentar reclamos ante la Superintendencia de Industria y Comercio (SIC)
Si el titular considera que sus derechos han sido vulnerados, puede interponer un reclamo ante la SIC para que esta investigue y tome las medidas necesarias.
Ejemplo práctico: un consumidor reporta a la SIC que una empresa compartió sus datos con terceros sin autorización.
Plazo legal: antes de acudir a la SIC, el titular debe haber presentado primero el reclamo directamente a la empresa involucrada y esperar hasta 15 días hábiles para su resolución.
6. Derecho a ser informado sobre cambios en la política de privacidad
Los tiulares deben ser notificados de cualquier modificación que afecte la forma en que sus datos son tratados.
Ejemplo práctico: Una empresa envía un correo electrónico a sus clientes informándoles sobre un cambio en su política de manejo de datos personales, explicando cómo afecta a los usuarios y ofreciendo la opción de retirar su autorización.
También te puede interesar: Auditoría interna: estrategias y buenas prácticas para empresas
Cambios recientes y tendencias en protección de datos personales
La Ley 1581 de 2012, aunque ha sido una base sólida para la protección de datos personales en Colombia, ha experimentado ajustes y se encuentra en constante evolución. A medida que surgen nuevas tecnologías y metodologías de procesamiento de datos, se hace necesario adaptarse a los cambios para asegurar que las políticas de privacidad sigan siendo efectivas y pertinentes.
- Actualización del marco normativo: en 2021, se incluyeron nuevas disposiciones en la ley que refuerzan el control sobre el uso de datos personales, buscando aumentar la transparencia y el acceso de los titulares a la información relacionada con sus datos.
- Aumento de las sanciones: las multas por no cumplir con la ley han aumentado significativamente. Empresas que no implementen mecanismos adecuados para la protección de datos personales pueden enfrentarse a sanciones más severas, lo que resalta la importancia de cumplir con los requisitos legales.
- Aceleración de la digitalización: la digitalización de los procesos de recolección y tratamiento de datos personales ha llevado a la creación de nuevas plataformas que permiten una gestión más eficiente y segura de la información, facilitando la autorización y el control por parte de los titulares.
- El rol de la Superintendencia de Industria y Comercio (SIC): la SIC ha intensificado su supervisión y control sobre las empresas que manejan datos personales, aplicando sanciones y proporcionando directrices más claras sobre cómo las empresas deben proteger la información de los usuarios.
- Tendencia hacia la anonimización de datos: cada vez más empresas optan por técnicas de anonimización para minimizar los riesgos asociados al uso de datos personales. Esta tendencia busca garantizar que la información recopilada no pueda ser atribuida a individuos sin su consentimiento, fortaleciendo la seguridad y la privacidad.
¿Cómo implementar un sistema de protección de datos personales en tu empresa?
Aunque este tema tiene muchísima tela para cortar, a continuación te explicaré una serie de pasos que te serán de utilidad para implementar un sistema de gestión y protección de datos personales en tu empresa, o bien; si ya cuentas con uno, para validar que se estén aplicando.
Paso 1: Establece la responsabilidad de la protección de datos personales
Paso 2: Determina la finalidad de la recolección de datos personales y establece la política de privacidad
Paso 3: Informa al titular y solicita su autorización expresa
Paso 4: Establece mecanismos de atención de requerimientos
Paso 5: Haz el inventario de bases de datos personales
Paso 6: Capacita a todo el personal
Paso 7: Identifica y gestiona los riesgos de los datos personales
Paso 8: Atiende los requerimientos de manera clara y oportuna
Paso 9: Reporta y gestiona incidentes
Paso 10: Actualiza tu sistema según nuevas normativas y tendencias
Paso 1: Establece la responsabilidad de la protección de datos personales
Define un oficial de privacidad o equipo responsable de la protección de los datos personales en tu organización. Si bien esta persona o equipo velará por la protección de los datos personales, la responsabilidad es de todos los colaboradores de la empresa.

Paso 2: Determina la finalidad de la recolección de datos personales y establece la política de privacidad
Determina los datos personales que tu empresa recolecta o desea recolectar, así como el uso que darás a estos datos. Esta información será clave para que puedas establecer la política de tratamiento de datos personales, que será el corazón de tu sistema de protección de datos personales.

Paso 3: Informa al titular y solicita su autorización expresa
Cuando recolectes datos personales, debes informar al titular sobre la finalidad y uso de los mismos. Este deberá suministrar autorización expresa, que debes conservar como evidencia.
Estrategia práctica: implementa plataformas digitales que automaticen este proceso, permitiendo consultas rápidas y seguras sobre los consentimientos otorgados. Además, envía recordatorios periódicos a los usuarios sobre los permisos que han otorgado, dándoles la posibilidad de revocarlos fácilmente.
Paso 4: Establece mecanismos de atención de requerimientos
Determina mecanismos para la recepción de requerimientos referentes a sus datos personales: consulta, actualización, rectificación o reclamos. Para ello puedes establecer canales tales como formulario web, buzones, líneas telefónicas o direcciones de correo electrónico.
Paso 5: Haz el inventario de bases de datos personales
Determina las bases de datos que contengan datos personales, ya sean privados, sensibles o públicos. ¡Ojo! Base de datos no significa necesariamente que sea software o un sistema de información. Una base de datos puede ser el archivador con las hojas de vida físicas del personal de la compañía.
Si tu organización tiene más de 100.000 UVTs en activos totales, deberás registrar las bases de datos en el Registro Nacional de Bases de datos (RNBD) como lo establece el Decreto 090 de 2018.
Registra tus bases de datos en el RNBD
Paso 6: Capacita a todo el personal
Puede parecerte excesivo capacitar a todo el personal en protección y tratamiento de datos personales, pero la historia nos cuenta que es totalmente necesario. Hay tristes historias de grandes empresas en Colombia que han tenido que pagar millonarias multas, debido a la nula o insuficiente información que dio un asesor de un call center, o la omisión de un área de Servicio al cliente u Operaciones en la atención de un requerimiento de actualización o corrección de datos personales.
Paso 7: Identifica y gestiona los riesgos de los datos personales
Identifica los posibles riesgos en los que puedan incurrir los datos personales en las actividades o procesos que realiza tu organización. Analízalos, evalúalos y determina los controles y planes de tratamiento para evitar su materialización. Por ejemplo, incluye cláusulas de confidencialidad y manejo de datos personales en todos los contratos que firme la empresa (empleados, proveedores, alianzas).
Paso 8: Atiende los requerimientos de manera clara y oportuna
Cuando recibas requerimientos de actualización, corrección de datos personales por parte del titular, atiéndelos dentro de los plazos que hayas determinado para ello y contesta siempre de manera clara y concisa.
Paso 9: Reporta y gestiona incidentes
Identifica y gestiona los incidentes relacionados con los datos personales; por ejemplo, una vulneración a un sistema de información o un acceso no autorizado a un espacio físico que almacena datos personales.
Paso 10: Actualiza tu sistema según nuevas normativas y tendencias
El entorno legal y tecnológico está en constante evolución. Por eso, es fundamental revisar y actualizar periódicamente las políticas y procesos de protección de datos personales.
Estrategia práctica: establece una revisión anual obligatoria de tu sistema de protección de datos, considerando nuevos avances tecnológicos, riesgos emergentes y cambios regulatorios. Participa en capacitaciones o seminarios sobre normativa de datos personales para mantenerte actualizado
Volviendo a nuestras preguntas iniciales, reflexionemos un poco:
¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos?
- ¿Será tu empresa la que está efectuando estas llamadas a personas que no han autorizado sus datos para tal fin?
- ¿Tienes forma de demostrar que la persona a la que estás llamando autorizó el uso de sus datos?
- ¿Compraste la base de datos a un tercero y validaste que el tercero tuviera autorización para transferirte dicha información? Si es así, ¿notificaste a esas personas de que ahora tienes sus datos?
¿O qué eres cliente de alguna tienda que no para de enviarte mensajes de texto y quieres anular la suscripción, pero no sabes cómo?
- ¿Tu empresa tiene claros los procesos para la atención de requerimientos de privacidad?
- ¿Tu empresa tiene mecanismos para recibir requerimientos de privacidad que sean conocidos por los titulares de los datos personales?
- ¿Tu empresa conoce los plazos máximos para responder los requerimientos de privacidad de acuerdo a lo establecido por la SIC?
- ¿Tienes claro que si no respondes en los tiempos definidos por la SIC, el titular puede escalar el caso directamente ante la SIC?
En cualquiera de estos casos, recuerda que como titular de datos personales tienes derechos y como responsable del tratamiento tienes deberes.
La Ley 1581 de 2012 es fundamental para garantizar la protección de los datos personales en Colombia, y su cumplimiento es esencial para mantener la confianza de los usuarios y evitar sanciones. Implementar un sistema de gestión de protección de datos personales no solo es una obligación legal, sino una excelente oportunidad para mejorar la seguridad de la información en tu empresa, optimizar los procesos y garantizar que los derechos de los titulares de datos sean respetados.
Si aún no has implementado un sistema de protección de datos personales o necesitas asesoría para actualizar el que ya tienes, en kawak® podemos ayudarte. ¡No dejes que los cambios te tomen por sorpresa! Contacta con nosotros hoy mismo y comienza a proteger lo más valioso: los datos de tus usuarios.