Preguntas frecuentes

Resuelve tus dudas sobre la protección de datos personales.

1.¿Qué es el RNBD?

Es el Directorio público de las bases de datos con información personal sujetas a Tratamiento que operan en el país. Lo anterior no implica que allí esté depositada ninguna base de datos, solamente la información de cuántas bases de datos hay en el país, su finalidad, los canales que se han dispuesto para atender las peticiones de los ciudadanos, las políticas de tratamiento de datos personales adoptadas, el tipo de datos que contienen y las transferencias y transmisiones de información que se realizan. Este registro funciona no solamente en Colombia, también existe en otros países como España, Perú, Argentina y Uruguay.

 

2.¿Qué es una base de datos personales?

Es un conjunto organizado de datos personales bien sea en medio físico (ej. papel) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), sin importar la cantidad de datos personales que contenga.

Por lo general y sin limitación alguna, la entidad tiene las siguientes bases de datos: de empleados, clientes y proveedores.

 

3.¿Qué es un dato personal?

Es información que pueda asociarse a una o varias personas naturales determinadas o determinables Por su naturaleza los datos pueden ser públicos, semiprivados, privados o sensibles.

 

4.¿Qué es tratamiento de datos personales?

Es cualquier actividad que se realice con la información personal, por ejemplo:
recolectarlos, almacenarlos, consultarlos, actualizarlos, compartirlos con terceros, y/o eliminarlos. Todo esto de acuerdo con los fines que decida la empresa.

 

5.¿Qué bases de datos se deben registrar?

Las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

 

6.¿Debo registrar bases de datos con información tributaria?

Si deben registrarse.

De acuerdo con el tratamiento de Datos Personales, solamente se deben tener en cuenta los datos personales que se recolectan de esta información tributaria.

Las únicas entidades que están exentas de presentar esta información tributaria son los Bancos y las Centrales de Riesgo.

 

7.¿Desde qué año debo de suministrar la información para el RNBD?

Teniendo en cuenta que la ley 1581 de 2012 entró en vigencia el 17 de octubre de 2012, desde esta fecha se iniciará el suministro de la información de cada una de las dependencias y/o secretarías.

 

8.¿Cuál es el nombre de la base de datos?

Es el nombre con el cual tenemos almacenada y/o identificamos la base de datos.

 

9.¿Qué es la finalidad?

Es el fin para el cual hago uso de la base de datos.

 

10.¿En una base se pueden colocar diferentes finalidades?

Si, ya que esa base de datos que contiene información se puede utilizar, por ejemplo: para consultar, para validar, para estadísticas o simplemente para llevar un control.

 

11.¿Existe alguna norma que lo obligue a realizar tratamiento de estos datos?

Si existe alguna norma diferente a la Ley 1581 de 2012 que nos obligue a realizar el tratamiento de datos.

 

12.¿Quién es el responsable del tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El Tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.

 

13. ¿Quién es el Encargado del Tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Vale la pena aclarar que para efectos de la normativa sobre protección de datos personales el Encargado del tratamiento es un tercero, ajeno a la empresa, por lo que no debe confundirse con el empleado que al interior de la organización es quien administra la base de datos, este último no es un Encargado del tratamiento en los términos de la Ley. Se aclara que no necesariamente se debe tener un Encargado del Tratamiento. En ese caso, no debe registrarse nada en el paso 1 del RNBD, se debe continuar al paso siguiente.

 

14. ¿Cuál es la clasificación de base datos?

Es como almacenamos las bases de datos ya sea de forma automatizada o física.

 

15.¿Qué es una base de datos automatizada?

Es un conjunto organizado de datos personales que se encuentra almacenado de forma digital (computador, servidor).

 

16.¿Qué es una base de datos física?

Es un conjunto organizado de datos personales que se encuentra almacenado de forma física (papel, archivo).

 

17.¿Qué es un dato de identificación?

Es información en la que se logra la individualización de la persona como lo es el nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad.

 

18.¿Qué es un dato de ubicación?

Son aquellos relacionados con la actividad comercial o privada de las personas como dirección, teléfono, correo electrónico.

 

19.¿Qué es un dato sensible?

Son aquellos que están relacionados con la salud de la persona en cuanto a órdenes y relación de pruebas complementarias como laboratorio, imágenes diagnósticas, endoscópicas, patológicas, estudios.

 

20. ¿Qué es un dato socioeconómico?

Son aquellos en los cuales logra identificar el estrato, propiedad de la vivienda, Datos financieros, crediticios y/o de carácter económico de las personas, Datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona.

 

21.¿Tiene un documento de seguridad de la información personal o general aprobado?

Un documento de seguridad de la información personal es aquel que contiene los lineamientos y/o políticas administrativas, humanas y técnicas que se deben adoptar por todas las áreas de la organización y cada uno de sus integrantes en el cuidado de los datos personales, con el objeto de cumplir el principio de seguridad a que se refiere la Ley 1581 de 2012 que en su Artículo 4, literal g enuncia: “Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”
Esta política se encuentra ubicada en la página web de la entidad en la opción de políticas y planes institucionales (https://www.barranquilla.gov.co/politicas-y-planes-institucionales)

 

22.¿Ha realizado documentación de procesos en torno a la seguridad de la información personal?

Se refiere a si tiene documentos donde haya plasmado los procesos relacionados con seguridad de la información que involucren datos personales.

 

23.¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información personal?

Hace referencia a si tiene por escrito o documentado de alguna manera quién tiene la responsabilidad en cuanto al tratamiento de datos personales en cada uno de los pasos de los procesos y/o procedimientos relacionados con dicho tratamiento.

 

24.¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal?

Está relacionado con el principio de Confidencialidad contemplado por la Ley 1581 de 2012, que indica: “Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

 

25.¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal?

Corresponde a aquellos controles implementados en los procesos o tratamiento de datos que se realizan a través de terceros ajenos a la organización, que corresponden a Encargados del tratamiento de datos personales.

 

26. ¿Tiene implementadas herramientas de gestión de riesgos en el tratamiento de datos personales?

Herramientas de gestión de riesgo se denomina a la combinación de sistemas, controles, instrumentos, metodologías, etc., empleados para facilitar los procesos de prevención, mitigación y preparación de las capacidades de la organización para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno durante cada una de las etapas del ciclo del dato y la naturaleza de los mismos. El responsable es libre de utilizar la herramienta o metodología que desee, de acuerdo con sus necesidades y capacidades organizacionales. Se debe tener una documentación de la metodología utilizada para la evaluación del riesgo.

 

27.¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?

En términos generales un Sistema de Gestión de Seguridad de la Información o SGSI es un conjunto de lineamientos y/o políticas administrativas, humanas y técnicas de administración de la información. El concepto es utilizado por diferentes estándares, principalmente por la ISO/IEC 27001. En cuanto al Programa Integral de Gestión de Datos Personales PIGDP consiste en implementar al interior de la organización las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. Para lo cual el Decreto 1074 en su sección 6 desarrolla el principio de Responsabilidad demostrada frente al tratamiento de datos personales y la Superintendencia de Industria y comercio publicó la Guía para la implementación del principio de responsabilidad demostrada (Accountability) en las organizaciones, publicado en la página web de la SIC www.sic.gov.co. Por medio del SGSI o de un PIGDP, la organización realiza el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar de manera eficiente el acceso y uso de la información en general o específicamente de los Datos Personales, con base en los principios de la seguridad de la misma que son la confidencialidad, integridad y disponibilidad, para de esta manera minimizar los riesgos asociados al tratamiento de la información, de acuerdo con su clasificación y naturaleza de los datos.

 

28.¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral?

Políticas y controles relacionados con el recurso humano vinculado a la organización que tendrá acceso a la información personal, antes, durante y posterior al desempeño de las funciones. Por ejemplo, acuerdos de confidencialidad de la información, estudios de seguridad previos a la contratación, cierre y control para perfiles de acceso a la información una vez finalizada la relación contractual, etc.

 

29.¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?

Se deben implementar medidas o controles para regular el acceso a la información personal, estas políticas deben contemplar tanto el acceso físico (a las instalaciones) como el acceso lógico (al software, aplicaciones, usuarios, IP’s, claves, etc.). Esto es definir quién tiene permisos sobre la información personal y qué puede hacer exactamente con los datos personales.

 

30.¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?

Es complemento del control de acceso a la información personal. Está relacionado con las políticas para el control de los usuarios que tienen acceso a los datos personales. Esto es definir quién es el responsable de crear los usuarios, autorizaciones, seguridad en cuanto a claves, notificaciones, eliminación, perfiles de acceso, permisos, entre otros.

 

31.¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible?

Está relacionada con la política para regular el acceso a la información personal, pero donde se haga alusión específicamente al tratamiento de los datos sensibles (aquellos cuyo uso inadecuado puede generar discriminación) bien sea dentro de las políticas generales de acceso a la información o si se cuenta con políticas específicas para este tipo de datos. Estas políticas deben contemplar tanto el acceso físico (a las instalaciones) como el acceso lógico (al software, aplicaciones, usuarios, IP’s, claves, etc.), dentro de las cuales se define entre otros aspectos quién tiene permisos sobre dichos datos y qué puede hacer exactamente con ellos.

 

32.¿Tiene una política implementada de copia de respaldo de la información personal?

Hace referencia a si se tiene una política que indique a qué datos se les realiza una copia de seguridad, esto depende de la definición que la organización realice en cuanto a tipos de datos, tiempos de retención, datos a respaldar, medios de almacenamiento, ubicación de la copia, pruebas de restauración, disposición final, entre otros aspectos.

 

33.¿Ha implementado una política de protección para el acceso remoto a la información personal?

Se refiere a las medidas de seguridad que se implementen para garantizar una forma confiable de consulta, uso o extracción de la información de manera remota, es decir desde dispositivos que no se encuentren al interior de la organización. Lo anterior teniendo en cuenta las posibilidades que hoy existen de consultar los datos que una empresa tenga en sus servidores, equipos, datacenter, etc., desde diferentes puntos como dispositivos móviles, agilizando procesos de consulta, promoción y venta, etc. es importante asegurar y controlar dichos accesos a la red de la Organización.

 

34.¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información personal?

Es documentar los pasos y metodología utilizada en la definición de las necesidades identificadas antes, durante y posterior al desarrollo de sistemas de información relacionados con el tratamiento de datos personales, en todo lo concerniente a seguridad de la información en cada una de las etapas del ciclo del dato en el que apoye el sistema de información.

 

35.¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal?

Se refiere a si existen controles implementados sobre la documentación que debe hacerse acerca de los cambios o modificaciones que requieran los sistemas de información en general o específicamente aquellos que incluyen el tratamiento de datos personales.

 

36.¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?

Indicar si tiene procedimientos automatizados que permitan evaluar la eficiencia y suficiencia de los controles implementados a un sistema de información mediante el cual se traten datos personales para evitar su pérdida, uso o acceso no autorizado o fraudulento, de manera que se garantice la disponibilidad, integridad y confidencialidad de los datos personales.

 

37.¿Las bases de datos con información personal poseen Monitoreo de consulta?

Permite efectuar trazabilidad o seguimiento de cualquier consulta que realice sobre la base de datos con información personal. Lo cual se definirá dependiendo del riesgo a que esté expuesta esta información y la naturaleza de los datos que se estén tratando.

 

38.¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?

Está relacionado con la identificación de quién realiza qué y cómo lo hace en cada paso del tratamiento, para ello es importante elaborar una matriz de riesgo de los datos personales, identificar el ciclo del dato y en cada etapa, los riesgos asociados; una vez se realice esta tarea, se deben identificar los controles que se requieren para su gestión, demostrando así el correcto tratamiento en cada etapa. Para lo anterior puede apoyarse en la Guía para la implementación del principio de responsabilidad demostrada, que encuentra en la página de la SIC www.sic.gov.co.

 

39.¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?

Está relacionado con la veracidad del dato, el cual se debe garantizar desde su recolección, por lo tanto, es necesario minimizar el riesgo de error o ataques por inyección de código, utilizando técnicas de validación de los datos de entrada y procesamiento, al confirmar tipos, formatos, longitudes, pertinencia, cantidad, uso, entre otros.

 

40.¿Cuenta con un control de seguridad de información para la validación de datos de salida?

Este control está relacionado con la veracidad e integridad del dato, las cuales se deben garantizar desde su recolección, procesamiento y busca tener resultados esperados. Los datos de salida son los datos esperados, que si se presume un campo con un tipo de dato definido sea ese el que se obtiene y no otro. Así como en un reporte, la pertinencia de la información reportada de acuerdo con la finalidad. Esta es una manera de controlar la veracidad, calidad y acceso no autorizado a la información.

 

41.¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?

Se refiere a si existen medidas de seguridad que se apliquen para minimizar los riesgos asociados al intercambio de datos personales bien sea de manera física o electrónica, como interceptación, consulta no autorizada, fraude, pérdida o robo de la información.

 

42.¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)?

Una vez identificados los riesgos asociados al tratamiento de datos en cada una de las etapas, debe implementar controles coherentes en cuanto a lo que se decida hacer finalmente con dicha información, que puede ser eliminación (borrado seguro), destrucción o conservación, de manera que nunca se expongan los datos a un uso no autorizado o fraudulento que conlleve a la materialización de un riesgo tanto para el titular como para el Responsable del tratamiento.

 

43.¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?

Teniendo en cuenta que un Incidente de seguridad de datos personales se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales bien sea en manos del Responsable del Tratamiento o de su Encargado, se refiere a la documentación de los pasos a seguir una vez se detecte la comisión del incidente, tanto a nivel correctivo como preventivo. Dentro de los cuales se deben determinar tiempos, roles y responsabilidades.

 

44.¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?

Una vez se han determinado las causas e impacto del incidente detectado relacionado con datos personales, es importante identificar oportunidades de mejora e implementar controles que redunden en la prevención de la ocurrencia de otros hechos relacionados con las vulnerabilidades detectadas.

 

45.¿Tiene una política de auditorías de seguridad de la información personal?

Indicar si tiene documentada una política de auditoría de seguridad de la información personal o en general (de toda la información), que permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, relacionadas con el tratamiento de datos personales.

 

46.¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?

Indicar si tiene implementada una política de auditoría de seguridad de la información personal o en general (de toda la información), que permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, sobre tratamiento de datos personales, donde sea posible evaluar el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos con información personal que está registrando.

 

47.¿Cuenta con autorización del titular para tratar sus datos?

Es el consentimiento que da cualquier persona para que las empresas o personas responsables del tratamiento de la información, puedan utilizar sus datos personales. Para que esto se pueda hacer, la organización responsable del tratamiento de los datos debe adoptar procedimientos internos para solicitar la autorización al titular, a más tardar en el momento de la recolección de su información. La ley es clara cuando asegura que es necesario “el consentimiento previo, expreso e informado del titular”, es decir, que el dueño de la información apruebe y sepa para qué y cómo se utilizará dicha información. Además, tal autorización debe estar disponible para consultas posteriores.

 

48.¿En qué casos no es necesaria la autorización?

Aunque la ley obliga a los responsables del tratamiento de datos a contar con una autorización expresa de los titulares, en los siguientes casos no es necesario pedirla, pero sí será obligatorio cumplir los demás deberes dispuestos en la ley:
• Cuando la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
• En caso de hacer tratamiento de datos de naturaleza pública.
• Casos de urgencia médica o sanitaria.
• Para el tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
• Cuando se trata de datos relacionados con el Registro Civil.

 

49.¿Qué es la transmisión de datos internacional?

La transmisión de datos que ocurre cuando el Responsable del tratamiento de datos personales ubicado en Colombia remite la información personal a un receptor fuera del territorio nacional, con el objeto de que este último realice un tratamiento por cuenta del Responsable, no requerirá ser informada al Titular ni contar con su consentimiento cuando exista un contrato de transmisión de datos personales.

 

50.¿Qué es la transferencia de datos internacional?

Transferencia de datos trata de la operación que realiza el responsable o el encargado del tratamiento de los datos personales, cuando envía la información a otro receptor, que, a su vez, se convierte en responsable del tratamiento de esos datos.

 

Última actualización: