Ley 1581 de 2012: Guía básica para implementar un sistema de protección de datos personales
Escrito por Carolina Valbuena
abr 26, 2019
¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos? ¿O que eres cliente de alguna tienda que no para de enviarte mensajes de texto y quieres anular la suscripción pero no sabes cómo?
¿Qué es la ley 1581 de 2012?
En un mundo donde todo gira en torno a la información de las personas, los derechos y la dignidad humana están en juego. Es por esto que el Congreso de la República de Colombia aprobó la Ley 1581 de 2012, la cual determina las disposiciones generales para la protección de datos personales.
Esta ley impacta la cultura y estructura de los procesos de las empresas, ya que precisa revisar las políticas y procesos empleados para la recolección y uso de datos personales, en bases de datos y archivos.
Y, ¿qué son datos personales?
Como lo indica su nombre, son datos que pertenecen a una persona, por ejemplo aquellos que tengan relación con información como: salud, creencias religiosas, información comercial, transacciones financieras, situación familiar, ingresos, raza, salario, ideología política, orientación sexual, profesión, datos de contacto, entre muchos otros.
¿Cómo se clasifican los datos personales?
Los datos personales se clasifican de acuerdo a su naturaleza o los riesgos que puede generar cada tipo de información personal y depende de la sensibilidad de los mismos.
Dato personal público: Todo dato personal que pueda estar contenido en documentos o registros públicos u oficiales, así como sentencias judiciales.
Ejemplo: Correo electrónico corporativo, teléfono corporativo, profesión, cargo.
Dato personal privado: Corresponde a aquella información de naturaleza íntima o reservada que sólo es relevante para el titular, que puede ser conocida por la persona o su entorno más cercano, a menos que exista expresa autorización para su uso.
Ejemplo: Correo electrónico personal, dirección de residencia, teléfono de contacto.
Dato personal sensible: Considerada también información secreta, cuyo uso puede comprometer los derechos o libertades de la misma tal como discriminación. Requiere consentimiento del titular del dato para su recolección y tratamiento, y se debe tener en cuenta que el titular no está obligado a autorizar dicho tratamiento.
Ejemplo: Ideología política, inclinación sexual, información genética, pertenencia a sindicatos, datos biométricos.
¿Cómo implementar un sistema de protección de datos personales en tu empresa?
Aunque este tema tiene muchísima tela para cortar, a continuación te explicaré una serie de pasos que te serán de utilidad para implementar un sistema de gestión y protección de datos personales en tu empresa, o bien; si ya cuentas con uno, para validar que se estén aplicando.
Paso 1: Establece la responsabilidad de la protección de datos personales
Define un oficial de privacidad o equipo responsable de la protección de los datos personales en tu organización. Si bien esta persona o equipo velará por la protección de los datos personales, la responsabilidad es de todos los colaboradores de la empresa..
PASO 2: Determina la finalidad de la recolección de datos personales y establece la política de privacidad
Determina los datos personales que tu empresa recolecta o desea recolectar, así como el uso que darás a estos datos. Esta información será clave para que puedas establecer la política de tratamiento de datos personales, que será el corazón de tu sistema de protección de datos personales.
PASO 3: INFORMA AL TITULAR Y SOLICITA SU AUTORIZACIÓN EXPRESA
Cuando recolectes datos personales, debes tener claro cuál será el uso que les darás. Esta finalidad debe ser informada al titular de los mismos, quien deberá suministrar autorización expresa, la cual debes conservar como evidencia.
PASO 4: ESTABLECE MECANISMOS DE ATENCIÓN DE REQUERIMIENTOS
Determina mecanismos para la recepción de requerimientos referentes a sus datos personales: consulta, actualización, rectificación o reclamos. Para ello puedes establecer canales tales como , buzones, líneas telefónicas o direcciones de correo electrónico.
PASO 5: HAZ EL INVENTARIO DE BASES DE DATOS PERSONALES
Determina las bases de datos que contengan datos personales, ya sean privados, sensibles o públicos. Ojo! Base de datos no significa necesariamente que sea software o un sistema de información. Una base de datos puede ser el archivador con las hojas de vida físicas del personal de la compañía.
Si tu organización tiene más de 100.000 UVTs en activos totales, deberás registrar las bases de datos en el Registro Nacional de Bases de datos (RNBD) como lo establece el .
PASO 6: Capacita a todo el personal
Puede parecerte excesivo capacitar a todo el personal en protección y tratamiento de datos personales, pero la historia nos cuenta que es totalmente necesario. Hay tristes historias de grandes empresas en Colombia que han tenido que pagar millonarias multas, debido a la nula o insuficiente información que dio un asesor de un call center, o la omisión de un área de Servicio al cliente u Operaciones en la atención de un requerimiento de actualización o corrección de datos personales.
PASO 7: IDENTIFICA Y GESTIONA LOS RIESGOS DE LOS DATOS PERSONALES
Identifica los posibles riesgos en los que puedan incurrir los datos personales en las actividades o procesos que realiza tu organización. Analízalos, evalúalos y determina los controles y planes de tratamiento para evitar su materialización. Por ejemplo, incluye cláusulas de confidencialidad y manejo de datos personales en todos los contratos que firme la empresa (empleados, proveedores, alianzas).
PASO 8: ATIENDE LOS REQUERIMIENTOS DE MANERA CLARA Y OPORTUNA
Cuando recibas requerimientos de actualización, corrección de datos personales por parte del titular, atiéndelos dentro de los plazos que hayas determinado para ello y contesta siempre de manera clara y concisa.
PASO 9: REPORTA Y GESTIONA INCIDENTES
Identifica y gestiona los incidentes relacionados con los datos personales; por ejemplo una vulneración a un sistema de información o un acceso no autorizado a un espacio físico que almacena datos personales.
Volviendo a nuestras preguntas iniciales, reflexionemos un poco:
¿Te ha pasado que recibes llamadas de una empresa de la que nunca has escuchado hablar ofreciéndote servicios y promociones y no tienes idea de cómo obtuvieron tus datos?
- ¿Será tu empresa la que está efectuando estas llamadas a personas que no han autorizado sus datos para tal fin?
- ¿Tienes forma de demostrar que la persona a la que estás llamando autorizó el uso de sus datos?
- ¿Compraste la base de datos a un tercero y validaste que el tercero tuviera autorización para transferirte dicha información? Si es así, ¿notificaste a esas personas de que ahora tienes sus datos?
¿O que eres cliente de alguna tienda que no para de enviarte mensajes de texto y quieres anular la suscripción pero no sabes cómo?
- ¿Tu empresa tiene claros los procesos para la atención de requerimientos de privacidad?
-
¿Tu empresa tiene mecanismos para recibir requerimientos de privacidad que sean conocidos por los titulares de los datos personales?
-
¿Tu empresa conoce los plazos máximos para responder los requerimientos de privacidad de acuerdo a lo establecido por la SIC?
- ¿Tienes claro que si no respondes en los tiempos definidos por la SIC, el titular puede escalar el caso directamente ante la SIC?
En cualquiera de estos casos, recuerda que como titular de datos personales tienes derechos y como responsable del tratamiento tienes deberes.
¿Cómo proteges los datos personales en tu empresa? Cuéntanos!