Diplomado

Diplomado: Gerencia en la proteccion integral de datos

personales

Conferencista: Heidy Balanta

Abogada. Especialista en Derecho Informático y Nuevas Tecnologías de la Universidad Externado
de Colombia, Magíster en Derecho Económico de la misma Universidad.
Ha asesorado a más de 80 empresas en implementación de programas de protección de datos
personales.
Ha impartido charlas a nivel nacional e internacional sobre Derecho Informático y Nuevas
Tecnologías.
(2018) Premio Colectivo, por obra: ‘Protección de datos y habeas data: una visión desde
Iberoamérica’ de la Agencia Vasca de Protección de Datos en la XVIII. Edición de los Premios de
Protección de Datos Personales, representando a Colombia en dicha investigación.
(2017) Reconocida por la Red Iberoamericana de Derecho Informático como mejor blog de
Derecho Informático en Colombia. (www.derechoinformatico.co)
(2016) Reconocida por la Red Iberoamericana de Derecho Informático como abogada destacada
en Derecho Informático.
Módulo: Gestión de Datos
Personales según los procesos
de las Organizaciones
Objetivos
1. Contexto Legal
2. Fases
3. Aspectos a considerar
 Régimen Jurídico de Protección de Datos Personales

Artículo 15 y 20 CN
Ley Ley
Ley 1581 de 2012 1266 de 1273 de
2008 2009

Decreto Único
Sentencia C- Reglamentario Circulares de
748/11 1074 de la SIC
2015
Autorización del Titular del Dato

Finalidad

Tratamiento
AUTORIZACIÓN PARA EL
TRATAMIENTO DEL DATO

Derechos
del Titular

Identificación
del
Responsable
 Tipos de Datos Personales

GRADO DE ACCESO
AFECTACIÓN Público

Semiprivado

Privado
Queda proscrito el
Tratamiento de datos
personales de niños, niñas y
adolescentes, salvo aquellos
datos que sean de
naturaleza pública. Sensible SEGURIDAD
 Casos en los que NO es necesaria la AUTORIZACIÓN

Casos de urgencia
médica o sanitaria

Tratamiento de
información autorizado
Datos de naturaleza
por la ley para fines
pública
históricos, estadísticos o
científicos

Información requerida
por una entidad pública Casos en los
que NO es Datos relacionados con
o administrativa en
el Registro Civil de las
ejercicio de sus necesaria la Personas
funciones legales o por AUTORIZACIÓN
orden judicial

Quién acceda a los datos personales sin que medie autorización previa deberá en todo
caso cumplir con las disposiciones contenidas en la presente ley.
 Principios para el tratamiento de datos personales
Legalidad

Finalidad

Libertad

Veracidad y
Calidad
P. Seguridad de Acuerdos de
Principios Políticas Autorizaciones
la Información Confidencialidad

Transparencia

Acceso y
Circulación
Restringida

Seguridad

Confidencialidad
 Derechos del Titular

1.Conocer

6.Acceder 2.Actualizar

Autorización
DATOS

5.Solicitar 7.Solicitar
supresión
3.Rectificar 8.Revocar
prueba

4.Ser
informado

9. Presentar quejas ante la SIC

Consultas y Reclamos

CONSULTA
RECLAMOS
S
La consulta será El término máximo para
atendida en un término atender el reclamo será
máximo de diez (10) de quince (15) días
días hábiles contados a hábiles contados a
partir de la fecha de partir del día siguiente a
recibo de la misma. la fecha de su recibo.

Acceso a información, Actualización,

certificación, consultas. rectificación, supresión

Todo Responsable y Encargado deberá designar a una persona o área

que asuma la función de protección de datos personales, que dará
trámite a las solicitudes de los Titulares
Ciclo del Tratamiento de la Información

Obtención

Eliminación y/o
disposición Almacenamiento
final

TRATAMIENTO

Circulación Uso
 Sistema de Gestión Integral de Protección de Datos
Personales

SISTEMA DE GESTIÓN INTEGRAL DE

PROTECCIÓN DE DATOS
PERSONALES
Política de
Gobierno de Datos Personales
Tratamiento de Datos

Proceso de Gestión de Datos

Personales Manual Interno de
-Procedimiento para la gestión de Políticas y Gestión de Riesgos
autorizaciones
-Procedimiento de consultas y Procedimientos
reclamos
 Tener claro el enfoque del Programa.

Enfocado a la identificación de
Visión compatible
bases de datos personales, su
con el GDPR
ubicación, y tiene en cuenta
y Guía de
el enfoque anterior. Flujo de Responsabilidad
datos Demostrada
Ajustes básicos enfocados a la
personales
identificación de recolección de Bases de
información personal de Datos
Además de los dos enfoques anteriores, se
acuerdo a los canales que tiene debe partir desde el flujo de los datos
el Responsable Visión
Ley 1581/2012 personales al interior y exterior de la
Datos organización. Es decir, tener claro el flujo.
Personales No se enfoca solamente en entender como
entran y salen los datos personales.
Visión
Ley 1266/2008
 Fases Iniciales

Matriz de •Matriz inicial de

identificación identificación de bases
de datos
inicial de BD

Levantamiento •Documento de
Cruce de procesos con matrices
de información información
diligenciadas
•Se definen las áreas a
entrevistar

•Identificación de
Entrevista procesos a ajustar,
mejoramiento

Inventario de •aprobación por

parte del
Bases de Datos propietario
Entrevistas
En la entrevista, también se abarca, los siguientes aspectos:
o Se establece el ciclo del dato, esto es, obtención, usos,
almacenamiento, circulación y/o disposicion final.
o Hallazgos
o Identifica el uso interno y externo dado los datos personales
o Diagnóstico sobre el estado actual del tratamiento de datos y las
medidas de seguridad de las Bases de atos que se tienen en cada
unidad.
Inventario de Bases de Datos
Inventario de Bases de Datos
Levantamiento de Inventario de Datos
Personales
 TABLA DE CLASIFICACIÓN DE DATOS
PERSONALES
TABLA DE CLASIFICACIÓN DE DATOS PERSONALES
CLASIFIFICACIÓN DEFINICIÓN
Es aquel que requiere circular libremente para
PÚBLICO
facilitar el contacto con la sociedad.
Es el dato que no tiene naturaleza íntima,
reservada, ni pública y cuyo conocimiento o
SEMIPRIVADO divulgación puede interesar no sólo a su titular
sino a cierto sector o grupo de personas o a la
sociedad en general.
Es el dato que por su naturaleza íntima o
PRIVADO
reservada sólo es relevante para el titular.
Aquellos que afectan la intimidad del Titular o
SENSIBLE cuyo uso indebido puede generar su
discriminación.
Los datos personales semiprivados, privados y
sensibles de niños, niñas y adolescentes (NNA),
NNA
requieren de autorización del representante legal autorización del Representate legal.
del menor para su obtención.
AUTORIZACIÓN RECOLECCIÓN
*Cuando se soliciten solo datos personales de *Se pueden solicitar de manera
obligatoria
carácter público, no es necesaria la
autorización para su tratamiento
*Se pueden solicitar de manera
obligatoria
*Estos datos solo se pueden solicitar con
autorización del titular.
*No se puede solicitar de
*Estos datos solo se pueden solicitar con
manera obligatoria, o no ser que
autorización del titular. En algunas ocasiones
una ley exija que se debe
se requiere Orden Judicial
solicitar
*No se puede solicitar de
*Estos datos solo se pueden solicitar con manera obligatoria, a no ser que
autorización del titular, y en algunas ocasiones una ley establezca que dicho
cuando la ley lo autorice. dato o información sensible se
debe solicitar
*Los datos públicos y
semiprivados se pueden solicitar
de manera obligatoria *Los
datos privados y sensibles no
*Estos datos solo se pueden solicitar con
pueden pedirse de manera
obligatoria, a no ser que la ley lo
exija. En dicho caso el
representante del menor deberá
dar la autorización
TIPOLOGÍA DE FORMAS DE RECOLECCIÓN
DE LOS DATOS PERSONALES

FORMA DE
CONTROL CUMPLIMIENTO LEY 1581 DE 2012
RECOLECCIÓN
Formularios web • En los formulario web, aplicativos móviles y chat o video chat, se debe incorporar la
Aplicativos móviles autorización para el tratamiento de datos personales.
• Se debe conservar el log del check de la autorización, así como fecha, hora y ID del
Chat y video chat titular.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
• Se debe incorporar la autorización para el tratamiento de datos personales.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
Formularios físicos • En los formularios que se utilicen en el giro ordinario de las actividades que realiza la
Organización, con los empleados y estudiantes, no será necesario incorporar la autorización,
siempre y cuando sean actividades previsibles.

Llamadas telefónicas
• (…)
Cookies • (…)
Redes sociales
• (…)
Cámaras de video • (…)

Sistemas biométricos
• (…)

Correos Electrónicos
• (…)
TIPOLOGÍA DE AUTORIZACIONES

FORMA DE AUTORIZACIÓN CONTROL CUMPLIMIENTO LEY 1581 DE 2012

BD1 BD2 BD3 BD4

La autorización expresa debe cumplir con los requisitos exigidos

Autorización Expresa en la ley 1581 de 2012, y puede ser de forma verbal o escrita,
siempre y cuando se pueda probar de manera posterior que el
titular a suministrado su autorización. X X X X

La autorización expresa-reforzada se debe incorporar información

Autorización Expresa- Reforzada adicional cuando se trata de recolectar datos personales sensibles
y datos de menores de edad. X X

Cuando exista autorización por conductas inequivocas, será

Autorización por conductas necesario que se relacione en cualquier espacio, instrumento,
inequivocas donde se vaya a tener relación con el titular, el aviso de
privacidad, la política de tratamiento de datos personales, o el
aviso de videovigilancia, respectivamente. X
En los casos en que la Organización reciba datos personales con
Autorización suministrada por un entidades que tenga convenio, deberá en el contrato o acuerdo
tercero comercial, incorporar clausula de tratamiento de datos
personales, la cual deje claro que el tercero es el responsable de
obtener la autorización. X X

En los casos que por disposición legal se requiere solicitar el dato,

No se solicita autorización o suministrar el dato a una entidad pública en ejercicio de sus
funciones. X
 TIPOLOGÍA DE ALMACENAMIENTO

FORMA DE CONTROL CUMPLIMIENTO LEY 1581 DE

ALMACENAMIENTO DE LA 2012
INFORMACIÓN BD1 BD2 BD3 BD4

Servidor propio Establecer políticas de seguridad de la

información y seguridad informática X X X X
Servidor externo a cargo de un Contrato de Transmisión de Datos
tercero Personales X X X X
Contrato de Transmisión de Datos
Archivo en custodia de un tercero
Personales X

Archivo propio interno Establecer políticas de seguridad de la

información y seguridad informática X

Computador personal Establecer políticas de seguridad de la

información y seguridad informática X
TIPOLOGÍA DE CIRCULACIÓN DE DATOS
FORMA DE CIRCULACIÓN DE LA CONTROL CUMPLIMIENTO LEY 1581 DE
INFORMACIÓN 2012 BD1 BD2 BD3
Realizar contrato de transmisión de datos
Transmisión Nacional personales. X X
Realizar contrato de transmisión de datos
Transmisión Internacional personales.
Tranferencia Nacional Notificar alos titulares de la información X X
Realizar contrato de transferencia
internacional de datos y/o solicitar
Transferencia Internacional declaración de conformidad ante la SIC

Si es el padre de un estudiante, deberá

demostrarlo a través de documento de
identidad o registro civil que demuestre el
parentezco. SI un tercero, que actúa en
nombre del titular, mostrar poder y/o
autorización para la entrega de la
Representante legal información X
Aportar la autorización que suministró el
Tercero titular para entregar dicha información X
Autoridad judicial Orden judicial X
Autoridad administrativa Disposición legal y/o acto administrativo X
 Políticas de Tratamiento de la infomación

Tratamiento al cual serán

Nombre o razón social,
sometidos los datos y finalidad Derechos que le asisten como
domicilio, dirección, correo
del mismo cuando esta no se
electrónico y teléfono del Titular.
haya informado mediante el
Responsable.
aviso de privacidad.

Persona o área responsable de

la atención de peticiones,
consultas y reclamos ante la cual
el titular de la información
puede ejercer sus derechos a
conocer, actualizar, rectificar y
suprimir el dato y revocar la
autorización
Procedimiento para que los
titulares de la información
puedan ejercer los derechos a
conocer, actualizar, rectificar y
suprimir información y revocar la
autorización.
Fecha de entrada en vigencia de
la política de tratamiento de la
información y período de
vigencia de la base de datos

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el

artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de
los datos personales de una manera eficiente, antes de implementar las nuevas políticas.
 Evaluación de Riesgos

Evaluación
Identificación
de Identificación Identificación
Riesgo Riesgo
Riesgos
de Bases de
Datos
y Evaluación
Riesgos
Inherente
y Evaluación
de Controles
Inherente

• Probabilidad • Impacto por • Calculo nueva • Impacto por nueva

• Impacto Probabilidad probabilidad Probabilidad
 Implementación de Controles

1. Autorizaciones: Empleados, Clientes, Proveedores, canales

de comunicación:
2. Avisos: Privacidad, Videovigilancia, Legales
3. Procedimientos Internos: Manual Interno: Asignación de
Controles de acuerdo a la estructura de Gobierno de Datos
Personales
 Superintendencia
Industria y
Control Comercio
Interno
SISTEMA INTEGRAL DE PROTECCIÓN DE DATOS PERSONALES

JUNTA DIRECTIVA

GOBIERNO PARA LA GESTIÓN PROTECCIÓN DE DATOS PERSONALES

C C
o PROCESO GESTIÓN PROTECCIÓN DE DATOS PERSONALES
o
n m
s u
u Componente de Gestión de n
Levantamiento gestión de Riesgos en i
l Inventario de
de Información Seguridad de la Protección de
Bases de Datos c
t Información Datos
Personal Personales a
a

Gestión de incidentes de
seguridad de la información

Reporte de Novedades
Subcomponente: Seguridad y
Privacidad

• La Gestión Documental debe ser vista

ACTIVIDADES RECOMENDADAS A PRIORIZAR EN EL
Recomendaciones
PLAN DE TRABAJO

Adopción de • Prioridad a
autorizaciones Bases de Datos

• Prioridad por
Legalización y/o riesgos
formalización de asociados a la
autorizaciones recolección del
dato

• Se
Gestión de
abordan
Consultas y
los
Reclamos
deberes
Módulo: Protección y Gestión de Datos
Personales de Empleados
1. Protección de datos en el proceso de selección, contratación y
vigencia de la relación laboral.
2. Gestión especial de datos personales sensibles de los
Empleados.
 Procesos del área de Gestión
Humana

• Manejo de
• Hojas de vida datos sensibles
• Estudios de Autorización • Eventos
Relación bienestar
Selección seguridad Contratación tratamiento de
Laboral laboral
• Autorizaciones datos
previas • Incapacidades
• SST
 Proceso de Selección
• Previo a recibir la hoja de vida del aspirante, se debe hacer firmar por el aspirante la
“Autorización Tratamiento de Datos Personales”, hasta que no se encuentre diligenciado y
firmado por el aspirante, no se podrá recepcionar la hoja de vida.
• La autorización para la recepción de hoja de vida y entrevista de trabajo, deberán incorporar
además de las finalidades y los requisitos que se requieren para la autorización, indicar si los
datos personales se entregan a terceros, en qué casos y para que finalidades. Por ejemplo:
estudios de seguridad, exámenes médicos de ingreso, pruebas psicológicas, etc.
• La hoja de vida de las personas que avanzaron en el proceso de selección, pero que,
finalmente no fueron seleccionadas, se debe conservar temporalmente, pasado este periodo,
deberá destruir la hoja de vida y levantar acta de destrucción.
• En las entrevistas de trabajo, se debe tener cuidado con las preguntas de carácter sensible y
privado, e informarle al titular que no está obligado a suministrar dicha información.
• En caso que la Organización, contraté con un tercero, Estudios de Seguridad, el área de
gestión humana debe exigirle a dicha empresa, las autorizaciones para el tratamiento de
datos personales a los titulares de la información y hacerles firmar acuerdo de
confidencialidad y transmisión de datos personales para la protección de la información
personal.
 Proceso de Selección
• Las hojas de vida obtenidas a través de bolsas de empleo no requieren
autorización, siempre y cuando en la autorización y/o en la política de dicha bolsa
de empleo, quede expreso que dicha entidad es la encarga de la autorización para
el tratamiento de datos personales.
• En caso de que se haya dispuesto un correo electrónico exclusivamente para la
recepción de hojas de vida, deberá configurarse con respuesta automática,
informando sobre el tratamiento que se le dará a la hoja de vida. Las hojas de vida
recepcionadas por este medio, deberán solicitar la autorización solicitar a más
tardar, en el momento previo a la realización de la entrevista.
• En caso de que una hoja de vida no haya sido solicitada y sea presentada
directamente por el titular, se deberá hacer firmar autorización para el tratamiento
de datos personales, con el propósito que conozca el alcance del tratamiento de su
información.
• En caso de que sea repecionada la hoja de vida por medio de un correo electrónico
por parte del titular, se deberá responder dicho correo, informándole el aviso de
privacidad de la Organización.
 Proceso de Contratación
• Al ingresar, el empleado deberá realizar de manera obligatoria el curso de
protección de datos personales.
• Los contratos de trabajo deben incorporar cláusula de obligatoriedad en el
cumplimiento por parte de los empleados de las políticas de tratamiento de
datos personales y del manual interno.
• Los contratos de trabajo deben incorporar cláusula de autorización para el
tratamiento de datos personales de carácter público, privado, semiprivado y
sensibles.
• Los contratos de trabajo deberán contener cláusulas de confidencialidad.
• Los procesos y procedimientos que impliquen captura de información
sensible del trabajador, como su huella, datos relativos a la salud, datos
biométricos, requieren autorización reforzada por parte del trabajador.
 Proceso de Contratación
• Para los contratos actuales debe incorporarse el otro si al
contrato de trabajo y previamente se le debe dar a conocer la
política de tratamiento de datos personales a los empleados, una
vez socializado, deberán firmar el otro si al contrato de trabajo.
• Al momento de ingresar se le debe dar uno copia, o informarle
donde puede consultar la política de tratamiento de datos
personales.
• De manera periódica, se deberá revisar las cláusulas de
autorización para el tratamiento de datos personales, con el
propósito de verificar si han cambiado las finalidades, o
incorporar nuevas finalidades que surjan en la relación laboral.
 Actividades de Seguridad y Salud en el Trabajo

• Los procesos y procedimientos que se implementen con el objetivo de preservar la seguridad y salud del
trabajador, deben respetar los derechos fundamentales del trabajador, como la intimidad, el hábeas data y el
buen nombre.
• Sólo deberían recabarse datos médicos de conformidad con la legislación nacional, conforme a los principios
generales de la salud y seguridad en el trabajo, y en los siguientes casos:
• a) determinar si el trabajador puede ocupar un puesto de trabajo específico;
• b) cumplir con los requisitos en materia de salud y seguridad en el trabajo;
• c) determinar el derecho a prestaciones sociales y su disfrute.
• Las respuestas inexactas o incompletas a preguntas contrarias a los principios enunciados, no deberían quedar
sancionadas por una terminación de la relación de empleo ni comportar ningún tipo de medida disciplinaria.
• La custodia de las evaluaciones médicas ocupacionales y la historia clínica ocupacional debe estar a cargo del
responsable del programa de seguridad y salud en el trabajo. No se puede conservar o anexar copia de las
evaluaciones medicas ocupacionales e historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
• Las carpetas donde incluyen información sensible o relativa a la salud deberá accederse exclusivamente por el
responsable del programa de seguridad y salud en el trabajo y por el responsable del proceso pago de
incapacidades.
 Gestión y custodia de Historias
laborales (incluye hojas de vida)

• Las historias laborales deberán ser conservadas con controles de acceso físicos y/o
lógicos dependiendo en el formato que se encuentre.
• Ningún personal, salvo el autorizado, podrá acceder o consultar las historias
laborales. En caso de que un funcionario especifico, desea la consulta o acceso
deberá ser motivada justificando el motivo de la consulta, y el jefe de área
determinará si se justifica dicho acceso, conforme a la normativa de protección de
datos personales.
• La información relativa a la salud del trabajador no puede estar en la misma carpeta
de su historia laboral. La carpeta de la hoja de vida, o en su defecto el acceso al
sistema de información debe tener controles de acceso de acuerdo al rol.
• No se puede conservar o anexar copia de las evaluaciones medicas ocupacionales e
historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
 Obtención de datos personales
sensibles de los empleados
• Por regla general, la Organización no debe recolectar datos personales de carácter sensible de los empleados.
• Los datos personales sensibles que la Organización recolecte por parte de sus empleados, se limitarán a aquellos
necesarios para el cumplimiento de disposiciones legales.
• Cada vez que la Organización, recolecte datos personales sensibles que no sean obligatorios solicitarlos por
disposición legal, deberá analizar si la medida es proporcional con el fin que se persigue, y deberá solicitar
autorización expresa por parte del empleado, siempre y cuando en el contrato de trabajo no se encuentre
especificado dicha finalidad.
• Los exámenes toxicológicos deberían realizarse solamente de conformidad con la legislación y la práctica nacionales
o las normas internacionales.
• No deberían utilizarse polígrafos, detectores u otros medios o procedimientos similares de comprobación de la
veracidad de los empleados.
• En el caso de los exámenes médicos, sólo deberían comunicarse a la Organización, las conclusiones que guarden
relación con la decisión de que se trate relativa al empleo.
• Cuando se soliciten datos personales de menores de edad a cargo de los empleados, se requerirá autorización por
parte del empleado para el tratamiento de dichos datos personales, salvo que se traten de datos personales públicos
de los menores, o datos personales que se requieren para el cumplimiento de una obligación contractual, en este
último caso, bastará con la autorización incorporada en el contrato de trabajo.
 Circulación de datos personales de los
Empleados
• En los casos que sean necesario suministrar datos personales de los empleados a terceros en virtud del
cumplimiento de obligaciones en calidad de empleador, la Organización deberá firmar con dicho tercero,
contrato de transmisión de datos personales.
• Los datos personales de los empleados sólo deberán ponerse a la disposición de personal que se encuentre
autorizado.
• El empleador en calidad de responsable y/o encargado de la información personal del empleado, podrá
suministrar a terceros como Administradora de Riesgos Laborales, Entidades Promotoras de Salud, Cajas de
Compensación, Fondo de Pensiones, DIAN, Secretaría de Hacienda, Entidades Financieras, y/o con cualquier
autoridad administrativa y/o judicial legalmente facultada, con la finalidad de dar cumplimiento de
disposiciones legales y reglamentarias.
• La Organización no podrá suministrar datos personales de los empleados o exempleados a terceros relativos a
su antigüedad, desempeño, remuneración, ni ningún dato personal semiprivado, a no ser que cuente con la
autorización previa del empleado para suministrar dicha información personal.
• Las actividades relacionadas con publicación en carteleras, difusión de correos electrónicos, relativos a las
fechas de cumpleaños de los empleados, deberán contar con autorización de dicho empleado para su difusión.
• Las remuneraciones salariales, evaluaciones de desempeño, y otros datos semiprivados del empleado, no
podrán circular libremente en la Organización, y en caso de divulgación, deberán contar con la autorización
del empleado.
•
 Derecho de habeas data de los
empleados
• Los empleados tienen derecho a ser informados con regularidad sobre los
datos personales que les conciernen y sobre el tratamiento de éstos, así
como solicitar y/o consultar sus datos personales que tiene bajo tratamiento
la Organización.
• La Organización no podrá cobrar a los empleados el acceso a su historia
laboral o la copia del mismo.
• El empleado tiene derecho a exigir que se supriman o rectifiquen los datos
personales inexactos o incompletos, así como los sometidos a una forma de
tratamiento que vulnere lo estipulado en la presente política.
• Si la Organización se niega a rectificar los datos personales, el empleado
tiene derecho a incluir o añadir en su historia laboral una nota que indique
las razones de su desacuerdo.
 Controles recomendados

• Documento de Clasula de confidencialidad de la información y protección de

datos para contratos de trabajo y prestación de servicios (otrosi)
• Documento de Clasula de confidencialidad de la información y protección de
datos para proveedores de servicios y encargados de información
• Documento de clausula en correos electrónicos corporativos
• Documento de autorización consentimiento en todos los canales de
comunicación
• Documento- Formato de gestión de reclamos, peticiones y quejas de los
titulares de la información.
• Procedimiento para que los titulares de la información puedan ejercer sus
derechos a conocer actualizar, rectificar, suprimir y revocar la autorización
Módulo: Protección y Gestión de Datos
Personales de Clientes y Proveedores
Buenas Prácticas de Datos de Clientes y
Proveedores
• Verificar que los formatos y/o instrumentos de creación de clientes
contengan la autorización para el tratamiento de datos personales.
• Verificar que los contratos, acuerdos y en general actos que se generen
con terceros cumplan con los requisitos legales en materia de
cumplimiento del régimen de protección de datos personales y se
incorpore el acuerdo de confidencialidad.
• Verificar que los contratos comerciales cuenten con autorización para el
tratamiento de datos personales, y cláusula de confidencialidad.
• Verificar que los formatos y/o instrumentos de creación de proveedores
contengan la autorización para el tratamiento de datos personales.
• Verificar que los proveedores que actúen como encargados de la
información, tengan una política de protección de datos personales.
 Buenas Prácticas de Datos de Clientes y
Proveedores
• Verificar en la etapa de negociación con los proveedores que requiera la entrega
de datos personales, se incorpore acuerdo para la transmisión de datos personales.
• No se puede avanzar el trámite de inscripción del cliente y/o proveedor sino se
encuentra firmado el formato, para efectos de autorización para el tratamiento de
datos personales.
• Si el formato llega físicamente, se recomienda escanearlo como medida de
conservación. Si el cliente/proveedor envía el formato de solicitud de inscripción
escaneado, el área encargada de la custodia del formato, deberá conservar el
correo electrónico donde se envía dicho formato escaneado. El correo electrónico
se debe conservar en formato HTML y pdf.
• El área encargada de la custodia de la información de clientes y proveedores, debe
tener controles de acceso físico, como llaves y que solo tenga acceso el rol
responsable de dicho proceso.
• Si un área desea acceder a la carpeta del cliente y/o proveedor, deberá justificar el
motivo de acceso a dicha información
DEBERES DEL RESPONSABLE DEL
TRATAMIENTO
Ley 1581 de 2012
Lit. a) del

Ante el Titular del Dato

art. 17
Lit. e) del

Ante el Encargado
Lit. b) del
art. 17 art. 17
Lit. j) del

Ante la Ley y la SIC

Lit. c) del Lit. f) del
art. 17 art. 17
art. 17
Lit. g) del Lit. k) del
Lit. d) del art. 17
art. 17 art. 17
Lit. h) del Lit. n) del
Lit. m) del art. 17
art. 17 art. 17
Lit. i) del Lit. o) del
art. 17 art. 17
Lit. l) del
art. 17
DEBERES DEL RESPONSABLE DEL
TRATAMIENTO ANTE EL TITULAR
DEL DATO

Informar Conservar la
debidamente al información bajo las
Garantizar en todo Titular sobre la condiciones de
Solicitar y conservar,
tiempo, el pleno y finalidad de la seguridad necesarias Informar a solicitud
copia de la respectiva
efectivo ejercicio del recolección y los para impedir su del Titular sobre el
autorización otorgada
derecho de hábeas derechos que le adulteración, pérdida, uso dado a sus datos
por el Titular
data asisten por virtud de consulta, uso o
la autorización acceso no autorizado
otorgada o fraudulento
DEBERES DEL RESPONSABLE DEL
TRATAMIENTO ANTE EL ENCARGADO
DEL TRATAMIENTO
Garantizar que la información que se suministre sea veraz, completa, exacta, actualizada, comprobable y comprensible

Actualizar la información, comunicando de forma oportuna, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada

Rectificar la información cuando sea incorrecta y comunicar lo pertinente

Suministrar, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado

Exigir en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular

Informar cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no
haya finalizado el trámite respectivo
DEBERES DEL RESPONSABLE DEL TRATAMIENTO
ANTE LA LEY Y LA SUPERINTENDENCIA y LA LEY

Adoptar un manual Informar a la autoridad

interno de políticas y de protección de datos
Cumplir las
Tramitar las consultas procedimientos para cuando se presenten
instrucciones y
y reclamos formulados garantizar el adecuado violaciones a los
requerimientos que
en los términos cumplimiento de la códigos de seguridad y
imparta la
señalados en la presente ley y en existan riesgos en la
Superintendencia de
presente ley especial, para la administración de la
Industria y Comercio
atención de consultas información de los
y reclamos Titulares.
Transferencia Internacional de
Datos
1. Lista países Criterios a evaluar
seguros

2. Lista de
Excepciones

3. Requisitos del
numeral 3.1 de la
Circular 05 de
2017

4. Contrato de
Transmisión de
datos personales

5. Solicitar
Declaración de
Conformidad
ante la SIC
Transmisión de Datos Personales
CARACTERÍSTICA TRANSMISIÓN TRANSFERENCIA

·El responsable determina cuál será el ·El responsable receptor determina el

Tratamiento de datos tratamiento de los datos personales por tratamiento que le dará a los datos personales
parte del encargado que le ha entregado el responsable emisor.

·Las partes deben celebrar contrato de Cuatro formalidades (previos) Ley, circular 05 de
Formalidad
transmisión de datos personales 2017

La ley no dice nada al respecto de la

autorización en caso de que sea transferencia
·Si el titular ha dado la autorización para
internacional a países seguros, o a nivel
Autorización la transmisión de datos personales, no es
nacional. Si es transferencias a países que no
necesario el contrato de transmisión.
brinda niveles de seguridad, si tiene que haber
autorización expresa.
·No se puede realizar la transferencia sino se
·Se presume que el responsable debe
enmarca dentro en las causales de excepción,
obtener la autorización del titular, a no
sino se encuentra en la lista de países seguros,
ser que el encargado en virtud del
caso en el cual, deberá solicitar la declaración
contrato celebrado, tenga como objeto
de conformidad aten la SIC. No obstante, la SIC
Restricciones recolectar la autorización.
deja abierta la posibilidad de presumir que
·La ley no establece restricción alguna, no
tiene declaración de conformidad dicha
obstante, se debe tener en cuenta que
transferencia, en caso de que las partes hayan
para que opere se deben dar los
celebrado contrato donde establezcan las
supuestos anteriormente descritos.
condiciones del tratamiento.
Recomendaciones en practicas de marketing
directo
-Los datos que se soliciten en el SANCIÓN
marco de una campaña de
marketing directo, deberá ser
usados exclusivamente para dicha
finalidad. No se puede establecer
contacto con un titular del dato, si RECORD DE COLOMBIA S.A-
Deberes
BANCO NACIONAL DE
no se tiene autorización para el CELULAR MADRE incumplidos
tratamiento de dichos datos
personales.
-En ningún caso, y bajo ninguna •Resolución 58969 de •No solicitar ni conservar
29/09/2014 copia de la autorización
excepción, se podrán solicitar datos •Multa $123.200.000 •No informar al Titular
personales privados y sensibles. sobre la finalidad de la
recolección y los derechos
que le asisten
-Esta prohibido el sistema de
referidos
Recomendaciones en practicas de marketing directo

SANCIÓN

-No se pueden recoger datos

personales por ningún canal, si no
existe de por medio autorización para LUIS EDUARDO PALACIO
Deberes
el tratamiento de datos personales, ni FRANCO incumplidos

prueba de dicha autorizacion.

-Se debe probar que el titular dío la
autorización
•Resolución 15339 de 2016
•Multa $6.894.550
•No solicitar ni conservar
copia de la autorización
•No informar al Titular
sobre la finalidad de la
recolección y los derechos
que le asisten
•Tramitar las consultas y
reclamos formulados
Recomendaciones en practicas de marketing
directo
IBI COMPANY
•Resolución
24109 de 2016
SANCIONES
S.A.S •Multa:
-En caso de que se realice a $10.341.825
través de un tercero alguna
práctica de marketing directo,
deberá informar a través de la •Resolución
FALABELLA DE 85652 de 2016
autorización para el tratamiento COLOMBIA S.A. •Multa:
de datos, de dicha transmisión y $137.891.000

la finalidad.
-la Organización podrá adquirir •Resolución
bases de datos personales para FLEXITRAVEL 78906 de 2017
actividades de mercadeo, no S.A.S •Multa:
$18.442.925
obstante, los datos personales
deberán ser de carácter público.
•Resolución
-En caso de que sean datos INTERNACIONAL 10414 de 2012
personales de carácter DE VEHICULOS •Multa $
semiprivado, el titular del dato 117.186.300

deberá autorizar el uso de su

información para fines de
publicidad y mercadeo.
 Protección de datos en las prácticas de marketing
via correo electrónico

SANCIÓN

-Antes de enviar un correo

electrónico con fines
comerciales, la Organización, LINIO COLOMBIA Deberes
debe validar que tenga la incumplidos

autorización para el tratamiento

de datos personales.
-Al envíar el correo electrónico
por primera vez, la Organización,
deberá suministrar en dicho
correo, el aviso de privacidad.
•Resolución 85654 de 2016
•Multa $241.309.250
Garantizar al Titular, en todo
tiempo, el pleno y efectivo
ejercicio del derecho de
hábeas data
Cuando el titular solicita darse de baja a la
SANCIONES
lista de correo de destinatarios, deberá
actualizarse dicho correo electrónico, de
todas las bases de datos que maneja el
área de relacionamiento, con fines
comerciales. •Resolución 79573 de
HOTEL SAN JUAN 2015
•Multa: $12.887.000

Todas las herramientas de e-mail

marketing deben tener la opción de
desuscribirse.
•Resolución 85652 de
CORPORACIÓN UNIVERSITARIA 2016
IBEROAMERICANA
•Multa: $20.683.620

En todos los casos y bajo ninguna

excepción se pueden enviar correos
electrónicos sin copia oculta.
 Protección de datos en las prácticas de marketing vía telefónica
(telemercadeo)

• Cuando un titular de la información, ha

suministrado sus datos personales a la
Organización, por medio de canales que no
son los hábilitados para ese propósito, la
Organización, deberá realizar el contacto por
primera vez con dicho titular, a través del
contact center, donde se pueda demostrar
que la persona ha suministrado su Deberes
TELEEXPRESS INTER S.A.S
autorización para el tratamiento de datos incumplidos
personales.
• Una vez que se ha contactado con esa
persona por medio del contact center, los •Resolución 72337 de 2014
•Multa $30.800.000
asesores comerciales de la Organización, No solicitar ni conservar
podrán contactarse con ellos para brindar o copia de la autorización

ampliar la información a suministrar.

 Protección de datos en las prácticas de
marketing vía telefónica (telemercadeo)

• Las llamadas que se realicen con el propósito de contactar

a una persona para capturar sus datos personales, deberá
estar grabada y conservar dicha grabación como prueba de
la autorización para el tratamiento de datos personales.
• En caso de que dicha actividad sea encomendado a un
tercero, este tercero deberá cumplir con la política de
protección de datos personales de la Organización y las
disposiciones sobre protección de datos personales.
• En caso de que la Organización contrate a un proveedor
para la prestación de este tipo de servicios como llamada
entrante o saliente, deberá cumplir con lo establecido en el
procedimiento de gestión de autorizaciones de audio
establecido por la Organización.
Marketing por catálogo

Solicitar la autorización para el tratamiento de datos personales

Incorporar aviso de privacidad

Autorización manejo de imagen (derechos de autor, datos personales)

 Captura y uso de imágenes

• En los eventos realizados por la Organización, deberá incorporarse en el

registro de asistencia, o en la inscripción a dicho evento, la autorización
para el tratamiento de datos personales, incluyendo la imagen del titular en
formato de fotografía y video.

• En el caso en que sea imposible obtener la autorización por estos medios,

se deberá incorporar un aviso en las instalaciones del evento, o
comunicarlo de forma verbal, o a través de pantallas, informar la captura y
divulgación de la imagen para fines de divulgar el evento.

• En los casos que sea complejo obtener la autorización expresa o por

conductas inequivocas del titular del dato, la Organización deberá capturar
las imágenes en planos que sea dificil identificar a las personas.
Captura y uso de imágenes

• La autorización para el uso de imagen debe dejar de

manera clara y expresa, los usos y tipo de tratamiento
que se le dará a la imagen, así como los derechos que
tiene el titular del dato.

• Las imágenes que sean usadas o que se capturen para

fines comerciales y publicitarios, deberán contar con
autorización para el tratamiento de datos personales y
derechos de autor.

• Las imágenes que se divulgen a través de los canales de

comunicación que tiene la Organización habilitados,
deberán tener autorización para el tratamiento de datos
personales y de derechos de autor.
consultoria@unipymes.com consultoria@latinpymes.com