Preguntas frecuentes
Resuelve tus dudas sobre la protección de datos personales.
Los principios y disposiciones de la ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento en territorio colombiano por entidades de naturaleza pública o privada o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
- A los datos personales contenidos en bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. No obstante, cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al titular y solicitar su autorización. En este caso, los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.
- A los datos personales contenidos en bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
- A los datos personales contenidos en bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
- A los datos personales contenidos en bases de datos y archivos de información periodística y otros contenidos editoriales.
- A los datos personales contenidos en bases de datos y archivos regulados por la Ley 1266 de 2008.
- A los datos personales contenidos en bases de datos y archivos regulados por la Ley 79 de 1993.
PRINCIPIO DE LEGALIDAD EN MATERIA DE TRATAMIENTO DE DATOS:
El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
PRINCIPIO DE FINALIDAD: El tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular.
PRINCIPIO DE LIBERTAD: El tratamiento de datos personales solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
PRINCIPIO DE VERACIDAD O CALIDAD: La información personal sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, en este sentido, se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
PRINCIPIO DE TRANSPARENCIA: En el tratamiento de datos personales debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: El tratamiento de datos personales está sujeto a los límites que se derivan de la naturaleza de los mismos, de las disposiciones de ley y la Constitución. En este sentido, su tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en ley. En este sentido, los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la ley.
PRINCIPIO DE SEGURIDAD: La información personal sujeta a tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
PRINCIPIO DE CONFIDENCIALIDAD: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.
Los datos personales de los menores de edad tienen una especial protección y por lo tanto su tratamiento está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
- Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y su decreto reglamentario.
Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Por regla general, la Ley 1581 de 2012 prohíbe el tratamiento de datos sensibles, excepto cuando:
- El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
- El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
- El tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
- El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
La AUTORIZACIÓN es el consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. El Responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.
La autorización del Titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las personas.
Ningún tipo de actividad que implique la recolección de datos personales y el suministro de información podrá condicionarse a que el Titular suministre datos personales sensibles. No obstante, cuando dicho tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
- Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.
- Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento, así como obtener su consentimiento expreso.
El Responsable del Tratamiento de los datos personales es una persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los mismos. El Encargado es el que realice el tratamiento de los datos personales por cuenta del Responsable.
Debe indicar lo siguiente:
- El tratamiento al cual serán sometidos y la finalidad con la que es recaudado el dato personal.
- Los derechos que le asisten como Titular.
- La información y los canales de comunicación a través de los cuales los Titulares pueden ejercer sus derechos ante el Responsable y/o Encargado del Tratamiento.
- El carácter facultativo que tiene el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
- Informar y garantizar el ejercicio de los derechos de los Titulares de los datos personales.
- Tramitar las consultas, solicitudes y reclamos.
- Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos que los mismos no la requieran.
- Respetar las condiciones de seguridad y privacidad de la información del titular.
- Cumplir las instrucciones y los requerimientos impartidos por la autoridad administrativa competente.
La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
La transmisión de datos personales por su parte implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia y tiene por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
- La Ley 1581 de 2012 prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos.
- Esta prohibición NO REGIRÁ cuando se trate de:
- Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
- Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública.
- Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
- Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
- Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
- Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.
No obstante, es posible la transferencia internacional de datos a países que no proporcionen niveles adecuados de protección de datos y en los casos no exceptuados, solo cuando la Superintendencia de Industria y Comercio, profiera la DECLARACIÓN DE CONFORMIDAD relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente está facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
Es el contrato que suscribe el Responsable con los Encargados para el tratamiento de datos personales bajo su control y responsabilidad, el cual señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el Titular y el Responsable. Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
- Dar tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
- Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
- Guardar confidencialidad respecto del tratamiento de los datos personales.
En igual sentido, las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos anteriores.